加 洋基 Cent0S 系 统管 理应 该 区 所 的 各 大 和 识 体系 ， 以 及 运 维和 人员 应 riya 
具备 的 各 方面 知识 和 技能 饭 襄 

图 ”注重 实践 和 应 用 ， 对 基础 知识 、 网 络 原理 、 工 具 使 用 、 调 试 技巧 cS 

工程 师 需 要 掌握 的 重点 内 容 做 了 详尽 的 描述 

图 ”实例 详尽 、 图 文 并 茂 、 讲 解 清晰 ， 且 所 有 实例 均 在 实践 环境 中 经 

图 帮助 读者 构建 一 个 整体 的 运 维 理念 ， 了 解 在 具体 工作 中 应 该 使 用 
什么 工具 去 提高 运 维 效率 ， 避 免 犯 下 重大 错误 
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内 容 简 介 
节 从 实际 应 用 出 发 ， 以 CentOS 7.5 作为 操作 系统 基础 ， 介 绍 目前 企业 中 常用 的 软件 平台 架设 和 管理 方 


法 ， 通 过 运 维 的 视角 来 介绍 运 维 的 基础 知识 和 软件 平台 的 常见 拱 建 思路 。 


本 


忆 共 14 章 ， 分 为 3 个 知识 区 块 。 涵 盖 的 主要 内 容 有 : 以 CentOS 7.5 特性 和 安装 、 运 维基 础 、 网 络 配置 


与 结构 为 第 一 个 知识 区 块 的 基础 知识 ， 企业 中 应 用 广泛 的 路 由 与 策略 路 由 ， 针 对 不 同 应 用 平台 的 文件 共享 服 
务 NFS、Samba 和 FTP， 目 前 常见 的 Web 平台 LAMP、LNMP， 把 应 用 容器 化 快速 部 署 上 线 的 Docker 技术 ， 
中 小 型 企业 应 用 最 为 广泛 的 LVS 集群 技术 ， 实 现 高 可 用 性 的 双 机 热 备 系统 等 为 第 二 知识 区 块 的 应 用 平台 建设 
与 管理 方面 的 知识 ;目前 热门 的 虚拟 化 和 云 计 算 为 第 三 知识 区 块 ， 主 要 有 KVM 虚拟 化 及 oVirt 管理 平台 ， 适 
合 企业 使 用 的 GlusterFS 存储 技术 ， 以 及 OpenStack 和 OpenNebula 云 平台 等 知识 。 

本 书 从 实际 生产 应 用 环境 出 发 ， 并 注重 安全 与 运 维 思路 教学 ， 既 适合 有 一 定 计算 机 基础 想 学习 Linux 的 
初学 者 参考 ， 又 适合 有 一 定 Linux 基础 需要 学 习 运 维 知识 的 人 员 阅 读 。 


本 书 封面 贴 有 清华 大 学 出 版 社 防伪 标签 ， 无 标签 者 不 得 销售 。 
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随 着 Internet 的 飞速 发 展 ， 各 大 互联 网 企业 对 硬件 、 软 件 的 要 求 都 上 了 一 个 新 台阶 。 经 常 
作为 服务 器 操作 系统 软件 的 Linux 系统 ， 近 年 来 也 获得 了 巨大 进步 。 纵 观 国内 外 的 各 大 IT 企 
业 ，Linux 服务 器 成 为 企业 必 不 可 少 的 选择 ， 其 低 成 本 、 高 性 能 与 高 可 靠 性 等 特点 使 得 其 在 服 
务 器 操作 系统 上 牢 牢 站 稳 。CentOS 作为 Linux 服务 器 操作 系统 之 一 ， 获 得 了 包括 淘宝 、 网 易 
等 IT 巨头 在 内 的 互联 网 企业 青睐 。 从 招聘 反映 的 情况 来 看 ， 与 Linux 相关 的 人 才 逐 渐 呈 紧张 
态势 。 只 有 学 好 Linux 系统 基础 及 高 技能 的 人 才 , 才能 游 妨 于 Linux 运 维 职场 并 获得 较 好 的 职 
业 前 景 。 

目前 图 书市 场 上 关于 CentOS 应 用 的 图 书 不 少 , 但 关于 CentOS 7.5 基础 与 高 级 应 用 的 图 书 
却 很 少 。 本 书 便 是 以 实战 为 主旨， 从 最 基础 的 知识 应 用 开始 , 逐渐 深入 到 最 实用 的 知识 和 安全 
领域 ， 让 读者 全 面 、 深 入 、 透 彻 地 理解 CentOS 7.5 基础 知识 ， 并 从 基础 知识 出 发 ， 提 高 不 同 
软件 之 间 的 整合 力 及 实际 应 用 的 能 力 。 


修订 说 明 


近年 来 ，Docker 和 微服 务 技术 得 到 了 广泛 应 用 ， 企 业 也 纷纷 采用 更 安全 的 CentOS 7.5 系 
统 进行 网 络 管理 为 了 顺应 时 代 发 展 本 次 修订 主要 围绕 新 的 技术 、 新 的 版 本 做 一 次 升级 改造 。 


@ 更 新 CentOS 版 本 到 7.5 
e@ 增加 了 Docker 安装 使 用 和 Docker Compose 的 应 用 
e 增加 了 CentOS 7.5 默认 的 防火 墙 firewalld 
本 书 特色 
1. 注重 基础 知识 


为 了 使 读者 能 更 好 地 使 用 CentOS 7.5, 本 书 中 的 许多 章节 都 着 重 介绍 基础 知识 。 基 础 知识 
在 运 维 体系 中 至 关 重要 ， 也 是 能 举一反三 地 在 不 同 环境 中 应 用 软件 、 整 合 软件 的 基础 。 


2. 案例 式 学 习 模 式 


在 本 书 中 , 每 个 应 用 平台 都 列举 了 不 同 环境 中 应 用 的 实例 、 解 决 方案 , 真正 做 到 以 案例 教 
学 ， 同 时 每 个 案例 都 做 到 有 一 定 的 启发 性 ， 以 便于 读者 能 应 对 更 多 环境 。 


CentOS 7.5 系统 管理 与 运 维 实战 


3. 注重 思路 教学 


Linux 系统 中 的 许多 软件 都 设计 得 十 分 灵活 ， 每 个 环境 中 都 可 以 找到 许多 种 解决 方案 。 针 
对 本 书 中 的 案例 ， 都 做 了 详尽 的 解释 ， 让 读者 能 明白 编者 的 意图 。 


4. 突显 官方 文档 的 作用 


CentOS 7.5 是 由 一 堆 开源 软件 组 成 的 操作 系统 ,针对 这 样 一 个 软件 平台 , 每 个 软件 的 官方 
文档 都 有 指导 性 意义 。 对 于 一 些 较为 复杂 的 平台 和 软件 ， 都 为 读者 指明 了 如 何 获取 官方 文档 的 
方法 ， 让 读者 能 更 好 地 学 习 和 应 用 。 


内 容 体系 


第 1 部 分 ，CentOS 7.5 概述 及 运 维 基础 (第 1 一 3 章 ) 

本 部 分 主要 介绍 CentOS 7.5 的 最 新 技术 要 点 及 运 维 的 基础 知识 ， 内 容 包括 CentOS 7.5 的 
新 特性 、 安 装 过 程 及 注意 事项 、TCP/IP 协议 、 网 络 设置 、DHCP 服务 器 配置 、DNS 域名 服务 
器 配置 等 。 

第 2 部 分 ， 服 务 器 与 集群 架设 〈 第 4 一 10 章 ) 

本 部 分 主要 介绍 CentOS 7.5 中 应 用 最 广泛 的 应 用 技术 和 服务 器 架设 方法 ， 内 容 包括 路 由 
与 策略 路 由 、 文 件 服务 器 (NFS、Samba 和 FTP)、Docker、 目 前 流行 的 LAMP、LNMP 架设 
方法 及 目前 应 用 较为 广泛 的 集群 和 双 机 热 备 等 。 

第 3 部 分 ， 虚 拟 化 与 云 计 算 〈 第 11 一 14 章 ) 

本 部 分 主要 介绍 目前 较 引 人 注目 的 虚拟 化 和 云 计算 平台 ， 内 容 包 括 KVM 虚拟 化 、oVirt 
虚拟 化 管理 平台 、GlusterFS 存储 、OpenStack 及 OpenNebula 云 平台 等 。 
本 书 读者 
需要 全 面 了 解 和 学 习 Linux 系统 的 人 员 ; 
有 志向 从 事 运 维 工作 的 人 员 ; 
运 维 人 员 、DEVOPS 人 员 ; 
希望 全 面 了 解 CentOS 7.5 的 人 员 ; 
希望 掌握 Linux 系统 企业 平台 架设 及 管理 的 人 员 ; 
专业 培训 机 构 的 学 员 ; 
需要 一 本 案头 必 备 查询 手册 的 人 员 。 


本 书 第 4~7 章 和 第 9~14 章 由 平顶山 学 院 的 孙 亚 南 编写 , 第 1~3 章 和 第 8 章 由 星空 (网 名 ) 
编写 ， 其 他 参与 创作 的 还 有 吴 贵 文 、 薛 淑 英 、 董 山海 。 


编 者 
2019 年 5 月 


第 1 章 


六 这 


2.3 


开启 mK 系 统管 理 与 运 维 的 大 门 enn D oa ian 1 
浆 尺 应 知道 的 EE 多 抽 本 问题 owen ne 1 


1.1.1 Linux 的 内 核 版 本 .. 
1.1.2 Linux 的 发 行 版 本 .. 
CentOS 之 于 Linux 
1.2.1 CentOS 简介 .……. 

1.2.2 CentOS 7.X 的 最 新 改进 
Linux 运 维 工程 师 的 技能 .… 
1.3.1 系统 和 系统 服务 
1.3.2 ”网 络 知识 . 
小 结 . 
闻 我 学 CONS975 的 史 守 训 ne 6 
安装 CentOS 7.5 必须 知道 的 基础 知识 . 
2.1.1 磁盘 分 区 
2.1.2 ”静态 分 区 的 缺点 及 还 辑 卷 管理 简介 
2.1.3 ”虚拟 化 和 VMware Workstation 简介 .…. 
SM TO 9 
安装 CentOS 7.5.....…. 
2.2.1 创建 虚拟 机 
2.2.2 用 光盘 安装 CentOS 7.5..…. 
2.2.3 用 器 盘 安 装 CentOS 7.5.... 
2.2.4 Windows7+CentOS 7.5 双 系 统 安装 
py Ne 
ER 25 
po A ee 26 


CentOS 7.5 系统 管理 与 运 维 实战 


2.4 


2.5 
2.6 


第 3 章 


3.1 


32 


Ek 


3.4 


3.5 


23.2 远程 登录 和 Xehell 工具 的 使 用 sn om 28 
3 i 
2.3.4 重启 和 关机 . 
2.3.5 重 置 密码 .…. 
小 白 安 装 过 程 中 的 问题 
2.4.1 Linux 分 区 会 覆盖 原 有 Windows 系统 吗 
2.4.2 如何 安 装 多 个 Linux 发 行 版 . 
2.4.3 ”如 何 删除 双 系 统 中 的 Linux .. 
2.4.4 主机 连 不 上 虚拟 机 安装 的 Linux 系统 
Linux 的 目录 结构 … 


运 维 必 备 的 网 络 管理 技能 .… 
网 络 管理 协议 介绍 . 
3.1.1 TCP/IP 概述 .… 

3.1.2 UDP 与 ICMP 协议 简介 
网 络 管理 命令 
3.2.1 检查 网 络 是 否 通畅 或 网 络 连接 速度 ping 
3.2.2 配置 网 络 或 显示 当前 网 络 接口 状态 ifconfig .. 
3.2.3 ”显示 添加 或 修改 路 由 表 route 
3.2.4 复制 文件 至 其 他 系统 scp… 
3.2.5 复制 文件 至 其 他 系统 rsync 
3.2.6 ”显示 网 络 连 接 、 路 由 表 或 接口 状态 netstat. 
3.2.7 探测 至 目的 地 址 的 路 由 信息 traceroute 
3.2.8 测试 、 登 录 或 控制 远程 主机 telnel 
3.2.9 ”下载 网 络 文件 wget a 
2 
3.3.1 Linux 网 络 相关 配置 文件 
3.3.2 配置 Linux 系统 的 了 P 地 址 …. 
3.3.3 设置 主机 名 
3.3.4 设置 默认 网 关 
Ss DNS S7 
Linux 默认 防火 墙 firewalld .. 
3.4.1 firewalld 特性 
3.4.2 firewalld 基本 术语 
3.4.3 firewalld 使 用 
Linux 防火 墙 iptables 
3.5.1 Linux 内 核 防火 墙 的 工作 原理 .. 


3.6 


3.7 


3.8 


3.9 
第 4 章 
4.1 


42 


4.3 


4.4 
第 5 章 
5.1 


2 


3.5.2 Linux 软件 防火 墙 iptables.… 
3.5.3 iptables 配置 实例 
Linux 高 级 网 络 配置 工具 


3.6.1 高 级 网 络 管理 工具 iproute2.. :70 
3.6.2 网络 数据 采集 与 分 析 工 具 tcpdump.. 7 
动态 主机 配置 协议 (DHCP) 5 


3.7.1 DHCP 的 工作 原理 
3.7.2 配置 DHCP 服务 器 
3.7.3 配置 DHCP 客户 端 


Linux 域名 服务 DNS. .78 
3.8.1 DNS 简介 .……. .78 
3.8.2 DNS 服务 器 配置 … .79 


3.8.3 DNS 服务 测试 


4.1.4 静态 路 由 和 动态 路 由 .… 
配置 Linux 静态 路 由 
4.2.1 配置 网 络 接 口 地 址 
4.2.2 ”接口 IP 地 址 与 直 联 路 由 .. 
4.2.3 route 命令 
4.2.4 Linux 路 由 器 配置 实例 . 
Linux 的 策略 路 由 
4.3.1 策略 路 由 的 概念 
4.3.2 路 由 表 管 理 

4.3.3 ”规则 与 路 由 管理 


OE, 99 


文件 共享 服务 .…. 
网 络 文件 系统 NFS) 
5.1.1 NFS 简介 

5.1.2 配置 NFS 服务 器 
5.1.3 ”配置 NFS 客户 端 上 
RC OR Te 


CentOS 7.5 系统 管理 与 运 维 实战 


3 


5.4 


第 6 章 


6.1 


6.2 


6.3 
6.4 
6.5 


6.6 


第 7 章 


Vl 


7 


7.2 


Sl Samba 人 出 作 5 107 
ee 107 
FTP 服务 器 


5.3.1 FTP 服务 概述 
5.3.2 vsftp 的 安装 与 配置 … 
5.3.3 proftpd 的 安装 与 配置 


搭建 LAMP 服务 
Apache HTTP 服务 安装 与 配置 . 
6.1.1 HTTP 协议 简介 

6.1.2 ”Apache 服务 的 安装 、 配 置 与 启动 
6.1.3 ”Apache 基于 IP 的 虚拟 主机 配置 
6.1.4 Apache 基于 端口 的 虚拟 主机 配置 … 
S13. one 类 村山 儿 的 康 拟 王 机 本 重生 
6.1.6 ”Apache 安全 控制 与 认证 
MySQL 服务 的 安装 与 配置 
6.2.1 MySQL 的 版 本 选择 
6.2.2 ”MySQL 的 版 本 命名 机 制 
6.2.3 MySQL rpm 包 安 装 .… 
6.2.4 MySQL 源码 安装 
6.2.5 MySQL 程序 介绍 … 
6.2.6 MySQL 配置 文件 介绍 .… 
6.2.7 ”MySQL 启动 与 停止 
PHP 安装 与 配置 
LAMP 集成 安装 、 配 置 与 测试 实战 . 
MySQL 日 常 维护 
6.5.1 MySQL 权限 管理 ... 
6.5.2 ”MySQL 日 志 管 理 ... 
6.5.3 MySQL 备份 与 恢复 .… 
6.5.4 MySQL 复制 
B55 DSOL 和 的 寺 这 直 a 


搭建 LINMP 服务 .… 
LNMP 服务 安装 与 管理 
7.1.1 Nginx 的 安装 与 管理 .. 
7.1.2 PHP 安装 
Nginx 负载 均衡 与 反 向 代理 .…. 


713 


7.4 


5 
第 8 章 
8.1 
8.2 
8.3 
8.4 


8.5 


8.6 


8.7 


入 Neinx 负载 均 本 设置 waa 193 
To -Moin 194 


集成 Nginx 与 PHP 
7.3.1 ”spawn-fcgi 集成 方式 
A Ee 
LNMP 实战 
7.4.1 第 1 个 PHP 程序 
742 
7.4.3 
7.4.4 
7.4.5 本 
CR RN 210 


Ey 测 除 这 这 nana RAR SOOEROeR 214 


Docker 三 大 概念 一 一 镜像 、 仓 库 、 容 器 .05500 220 
安装 Docker 

Docker 仓库 和 加 速 器 . 

Docker 基础 使 用 命令 . 


8.4.1 搜索 镜像 … 
8.4.2” 拉 取 镜 像 … 
8.4.3 查看 本 地 镜像 列表 .… 


GA a on 
8.4.5 

8.4.6 oR 
ee 226 


8.4.8 ”开机 自动 启动 容器 .. 
8.4.9 ”删除 容器 .… 
8.4.10 删除 镜像 . 网 
ed 
8.5.1 Docker 运行 MySQL 
8.5.2 ”Docker 运行 PHP-FPM .. 
Ss Dooker Ed Nelii in 


认识 Docker Compose 
8.6.1 安装 Docker Compose 和 
8.6.2 ”Docker Compose 搭建 LNMP 实战 232 
EN EE OE ORR RO OO 234 


CentOS 7.5 系统 管理 与 运 维 实战 


第 9 章 


9.1 
9.2 


93 


9.4 


9.5 


9.6 


第 10 章 


10.1 


10.2 


10. 


已 


10.4 


第 11 章 


VIll 


11.1 


集群 技术 简介 .… 
LVS: 集群 介绍 ,oct 
9.2.1 3 种 负载 均衡 技术 
9.2.2 ”负载 均衡 调度 算法 
LVS 集群 的 体系 结构 
LVS 负载 均衡 配置 实例 
9.4.1 基于 NAT 模式 的 LVS 的 安装 与 配置 .. 
9.4.2 基于 DR 模式 的 LVS 的 安装 与 配置 
9.4.3 ”基于 IP 隧道 模式 的 LVS 的 安装 与 配置 .. 
利用 集群 搭建 高 可 用 MySQL 平台 
9.5.1 高 可 用 MySQL 平台 的 功能 . 
9.5.2 ”可 选 方案 对 比 .. sse 
9.5.3 ”高 可 用 MySQL 平台 实现 方案 .. 
9.5.4 搭建 MySQL 集群 
9.5.5 ”搭建 负载 均衡 LVS 
9.5.6 ”搭建 双 机 热 备 HA 
9.5.7 项 目测 试 
ee 


高 可 用 性 集群 技术 .. 
10.1.1 可 用 性 和 集群 .. 
10.1.2 集群 的 分 类 

双 机 热 备 开 源 软件 Pacemaker.… 
10.2.1 ”Pacemaker 概述 
10.2.2 ”Pacemaker 安装 与 配置 ... 
10.2.3 ”Pacemaker 资源 配置 
10.2.4 ”Pacemaker 测试 

双 机 热 备 软件 keepalived 
10.3.1 keepalived 概述 .…… 
10.3.2 keepalived 安装 与 配置 
10.3.3 ”keepalived 启动 与 测试 ..… 


KVM 虚拟 化 和 oVirt 虚拟 化 管理 平台 … 
KVM 虚拟 化 
11.1.1 安装 KVM 虚拟 化 … 


三 袜 


ls3 
第 12 章 
12.1 


12 


iD 


12.3 
第 13 章 
13.1 
13.2 


13.3 


Hill 3 六 尖 因 并 开 开 全 是 竺 拉 本 corormonenmte mney 
11.1.4 使 用 virt-install 创建 虚拟 机 
oVirt 虚拟 化 管理 平台 
11.2.1 oVirt-engine 虚拟 化 管理 平台 概述 . 
11.2.2 ”ooVirt 管理 平台 的 安装 .. 
11.2.3 oVirtNode 安装 
11.2.4 oVirtNode 设置 
11.2.5 oVirt 虚拟 化 管理 平台 设置 .. 
11.2.6 
本 27 
小 结 .…. 
GlusterFS 存储 .. 
GlusterFS 概述 
12.1.1 分布 式 文件 系统 
rv 
12.1.3 ”GlusterFS 集群 的 模式 
GlusterFS 部 署 和 应 用 
12.2.1 ”GlusterFS 安装 .… 
12.2.2 配置 服务 和 集群 
12.2.3 添加 磁盘 到 集群 … 
12.2.4 添加 不 同 模式 的 GlusterFS 磁盘 .…. 
12.2.5 在 Linux 中 使 用 GlusterFS 存储 


配置 OpenStack 私有 云 
OpenStack 概况 .. 
OpenStack 系统 架 
13.2.1 OpenStack 体系 架构 … 
13.2.2 ”OpenStack 部 署 方式 … 本 
1 人 
13.2.4 分布 式 对 象 存储 模块 Swift 
13.2.5 ”虚拟 机 镜像 管理 模块 Glance.… 
13.2.6 “身份 认证 模块 Keystone... 
13.2.7 ”控制 台 Horizon.. 
Openstack 主要 部 署 工 具 . " 
| cD EE OR POT OO 
13.3.2 TripleO... 


CentOS 7.5 系统 管理 与 运 维 实战 


13.4 


13.6 
第 14 章 
14.1 


14.2 


14.3 


14.4 


EN 
通过 RDO 部 署 OpenStack .. 
13.4.1 部 署 前 的 准备 
13.4.2 ”配置 安装 源 .… 
13.4.3 ”安装 Packstack 
13.4.4 安装 OpenStack . 
管理 OpenStack 
13.5.1 登录 控制 台 
13.5:2 “用 卢 祝 置 ; 
13.5.3 ”管理 用 户 ..… 
13.5.4 ”管理 镜像 .… 
935 管理 守 主 机 类 对 cnmn tm 
13.5.6 ”管理 网 络 .… 
13.5.7 ”管理 实例 .… i 
A 373 
配置 OpenNebula 云 平台 … 
OpenNebula 概述 
14.1.1 云 计 算 概述 
14.1.2 OpenNebula 概述 
OpenNebula 安装 
14.2.1 控制 端 环 境 配置 
14.2.2 ”控制 端 安 装 .… 
14.2.3 客户 端 安装 …. 
14.2.4 配置 控制 端 和 客户 端 
OpenNebula 配置 与 应 用 .. 
14.3.1 配置 VDC 和 集群 … 
14.3.2 添加 KVM 主机 
14.3.3 
14.3.4 ”添加 虚拟 网 络 和 模板 
14.3.5 
小 结 


中 录入 nuw 用 命令 示例 ape 


| 


文件 管理 
A.1.1 复制 文件 cp 
A.1.2 移动 文件 mv 
A.1.3 创建 文件 或 修改 文件 时 间 touch . 
A.1.4 


A2 


A3 


A4 


A.1.6 查看 文件 或 目录 find. 
A.1.7 过 滤 文 本 grep.… 
A.1.8 比较 文件 差异 diff . 
A.1.9 在 文件 或 目录 之 间 创 建 链接 In 
A.1.10 显示 文件 类 型 file 
A.1.11 “分割 文件 split.. 
A.1.12 合并 文件 join.… 
A.1.13 文件 权限 umask .. 
A.1.14 文本 操作 awk 和 sed.… 


A.2.1 显示 当前 工作 目录 pwd 
A.2.2 建立 目录 mkdir 
A.2.3 删除 目录 rmdir 
A.2.4 改变 工作 目录 cd 
A.2.5 查看 工作 目录 文件 1s 
A.2.6 查看 目录 树 tree 
A.2.7 打包 或 解 包 文件 tar.… 
A.2.8 压缩 或 解压 缩 文 件 和 目录 zip/unzip.… 
A.2.9 压缩 或 解压 缩 文 件 和 目录 gzip/gunzip 
A.2.10 压缩 或 解压 缩 文 件 和 目录 bzip2/bunzip2 . 
系统 管理 000sismnioroiiniin 
A.3.1 查看 命令 帮助 man..… 
A.3.2 导出 环境 变量 export 
A.3.3 查看 历史 记录 history.… 
二 3 到 显示 训 从 履 六 统 时 间 与 有 期 da 人 
A.3.5 ”清除 屏幕 clear 
A.3.6 查看 系统 负载 uptime 
A.3.7 显示 系统 内 存 状态 free. 
A.3.8 ”转换 或 复制 文件 dd 


A.4.1 单 次 任务 at...…. 
A.4.2 周期 任务 crond.. 


XI 


第 1 章 


开局 Linux 系 统管 理 与 弃 维 的 大 门 


Linux 是 一 个 免费 、 开 源 的 操作 系统 软件 ， 是 自由 软件 和 开源 软件 的 典型 代表 ， 很 多 大 
型 公司 或 个 人 开发 者 都 选择 使 用 Linux。Linux 版 本 很 多 ， 有 适合 个 人 开发 者 的 操作 系统 ， 如 
Ubuntu， 也 有 适合 企业 级 的 操作 系统 ， 如 Red Hat Enterprise Linux。 本 书 主要 介绍 CentOS 7.5 
本 章 主要 涉及 的 知识 点 有 : 


认识 Linux 

Linux 的 内 核 版 本 
Linux 的 发 行 版 本 
了 解 CentOS 7.5 


你 必须 知道 的 Linux 版 本 问题 


Linux 是 一 个 开源 的 软件 , 发行 版 众多 。Linux 常见 的 内 核 版 本 有 哪些 ? Linux 又 有 哪些 发 
行 版 ? 本 节 主 要 介绍 这 方面 的 知识 。 


1.1.1 Linux 的 内 核 版 本 


Linux 内 核 由 C 语言 编写 ,符合 POSIX 标准 。 但 是 Linux 内 核 并 不 能 称 为 操作 系统 ， 内 
核 只 提供 基本 的 设备 驱动 、 文 件 管理 、 资 源 管理 等 功能 ,是 Linux 操作 系统 的 核心 组 件 。Linux 
内 核 可 以 被 广泛 移植 ， 而 且 对 多 种 硬件 都 适用 。 

Linux 内 核 版 本 有 稳定 版 和 开发 版 两 种 Linux 内 核 版 本 号 一 般 由 3 组 数字 组 成 比如 2.6.18 
内 核 版 本 : 

@ 第 1 组 数字 2 表示 目前 发 布 的 内 核 主 版 本 ; 

e 第 2 组 数字 6 表示 稳定 版 本 ， 若 为 奇数 则 表示 开发 中 版 本 ; 

@ 第 3 组 数字 18 表示 修改 的 次 数 。 
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前 两 组 数字 用 于 描述 内 核 系列 , 用 户 可 以 通过 Linux 提供 的 系统 命令 查看 当前 使 用 的 内 核 
版 本 。 


1.1.2 Linux 的 发 行 版 本 


Linux 有 众多 发 行 版 ， 很 多 发 行 版 还 很 受 欢迎 ， 有 非常 活跃 的 论坛 或 邮件 列表 ， 许 多 问题 

都 可 以 得 到 快速 解答 。 

(1) Ubuntu 发 行 版 提供 友好 的 桌面 系统 ， 用 户 通 过 简单 的 学 习 就 可 以 熟练 使 用 该 系统 ， 
自 2004 年 发 布 后 Ubuntu 为 桌面 操作 系统 做 出 了 极 大 的 努力 和 贡献 。 与 之 对 应 的 Slackware 和 
FreeBSD 发 行 版 则 需要 经 过 一 定 的 学 习 才 能 有 效 地 使 用 其 系统 特性 。 

(2) openSUSE、Fedora 和 Debian 发 行 版 介 于 上 述 几 种 系统 中 间 。openSUSE 引入 了 另外 
一 种 包 管 理 机 制 YaST，Fedora 革命 性 的 RPM 包 管 理 机 制 极 大 地 促进 了 发 行 版 的 普及 , Debian 
采用 的 是 另外 一 种 包 管理 机 制 DPKG (Debian Package)。 

(3) CentOS 源码 来 自 Red Hat Enterprise Linux (RHEL)， 其 社区 提供 及 时 的 安全 更 新 和 
软件 升级 服务 ， 是 一 个 企业 级 发 行 版 ， 适 用 于 普通 开发 者 和 服务 器 领域 。 


1 .2 CentOS 之 于 Linux 


CentOS (Community Enterprise Operating System， 社 区 企业 操作 系统 ) 最 初 是 由 一 个 社区 
主导 的 操作 系统 ， 来 源 于 Linux 的 另 一 个 最 重要 的 发 行 版 Red Hat Enterprise Linux〈 后 面 简称 
为 RHEL)。 由 于 CentOS 并 不 向 用 户 收 取 任 何 费用 ， 因 此 得 到 了 大 量 技术 实力 较 高 的 运 维 人 
员 的 青睐 而 发 展 壮 大 。 


1.2.1 CentOS 简介 


说 到 CentOS 必然 需要 先 说 明 RHEL, 而 说 到 RHEL 又 不 得 不 说 RHEL 的 运作 模式 。, RHEL 
的 发 行 公司 通常 被 称 为 红帽子 公司 ， 其 发 行 的 RHEL 与 Windows 这 类 闭 源 操作 系统 的 发 行 模 
式 截然 不 同 。 由 于 RHEL 采用 了 GNU 计划 中 的 大 部 分 软件 , 因此 红帽子 公司 在 发 行 RHEL 时 ， 
通常 需要 使 用 两 种 形式 发 行 同 一 个 版 本 。 第 一 种 称 为 二 进 制 版 , 用 户 可 以 直接 利用 这 个 版 本 安 
装 并 使 用 ， 另 一 种 形式 则 为 遵循 GNU 计划 规定 的 源码 形式 。 获 得 和 安装 RHEL 都 无 须 付 费 ， 
但 升级 和 技术 支持 需要 付费 ,因此 一 些 经 费 紧 张 的 小 型 企业 无 法 使 用 这 种 昂贵 而 又 十 分 优秀 的 
操作 系统 ， 在 这 种 形式 下 CentOS 应 运 而 生 。 

CentOS 根据 RHEL 释 出 的 源 代码 进行 二 次 编译 ， 并 去 掉 RHEL 相关 的 图 标 等 具有 商业 版 
权 的 信息 后 形成 与 RHEL 版 本 相对 应 的 CentOS 发 行 版 。 虽 然 CentOS 是 根据 RHEL 源 代码 编 
译 而 成 ， 但 CentOS 与 RHEL 仍 有 许多 不 同 之 处 : 
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(1) RHEL 中 包含 了 红 帽 自行 开发 的 闭 源 软件 〈 如 红 帽 集群 套件 等 ) 这 些 软件 并 未 开放 
源 代码 ， 因 此 也 就 未 包含 在 CentOS 发 行 版 中 。 

(2) CentOS 发 行 版 通常 会 修改 RHEL 中 存在 的 一 些 BUG， 并 提供 了 一 个 yum 源 以 便 用 
户 可 以 随时 更 新 操作 系统 。 

(3) 与 RHEL 提供 商业 技术 支持 不 同 ，CentOS 并 不 提供 任何 形式 的 技术 支持 ， 用 户 遇 
到 的 问题 需要 用 户 自 行 解决 ， 因 此 CentOS 对 技术 人 员 的 要 求 更 高 。 


RHEL 与 CentOS 还 有 许多 不 同 之 处 ， 此 处 不 一 一 列举 ， 感 兴趣 的 读者 可 以 参考 相关 资料 
了 解 。 值 得 注意 的 是 2014 年 初 ，CentOS 与 Red Hat 同时 宣布 ，CentOS 将 加 入 Red Hat， 共 同 
打造 CentOS， 业 界 普遍 希望 此 举 能 让 CentOS 操作 系统 更 加 强大 。 

虽然 CentOS 的 技术 门槛 更 高 ， 但 其 稳定 、 安 全 、 高 效 等 特点 吸引 了 一 大 批 经 验 丰富 的 IT 
管理 人 员 加 入 , 从 近 些 年 来 的 使 用 情况 来 看 , 其 发 展 非常 迅猛 。 许 多 IT 企业 都 在 使 用 CentOS， 
其 中 不 乏 淘宝 、 网 易 这 样 的 IT 巨头 。 


1.2.2 ”CentOS 7.X 的 最 新 改进 


CentOS 每 一 次 新 版 本 的 发 布 都 会 提供 许多 新 的 功能 ， 并 对 已 经 存在 的 软件 进行 了 大 量 的 
优化 。 例 如 CentOS 5 发 布 后 ， 用 户 惊奇 地 发 现 yum 包 管 理 器 更 具 人 性 化 了 ， 而 CentOS 6 对 
虚拟 化 进行 了 大 量 的 修改 。CentOS 7 开始 也 不 例外 ， 其 改进 主要 有 : 


(1) 更 新 内 核 版 本 为 3.10.0: 新 版 本 的 内 核 将 对 swap 内 存 空 间 进行 压缩 ， 这 将 显著 提高 
IO 性 能 ;优化 KVM 虚拟 化 支持 ; 开启 固态 硬盘 和 机 械 硬 盘 框 架 ， 同 时 使 用 这 两 种 硬盘 的 系 
统 将 会 提速 ， 更 新 和 改进 了 图 形 、 音 频 声音 驱动 等 。 

(2) 文件 系统 方面 : 默认 支持 XFS 文件 系统 ， 并 更 新 了 KVM， 使 其 可 以 支持 ext4 和 
XFS 快照 。 

(3) 网 络 方面 : 支持 Firewalld〈 动 态 防 火 墙 )， 防 火 墙 现 在 可 以 支持 区 域 和 网 络 信任 ， 
配置 防火 墙 之 后 也 不 需要 重新 启动 防火 墙 就 可 以 应 用 配置 了 ; 更 新 了 高 性 能 网 络 驱动 等 。 

(4) 支持 Linux 容器 : Linux 容器 能 提供 轻 量化 的 虚拟 化 ， 以 便 隔 离 进 程 和 资源 ， 这 将 
提高 资源 的 使 用 效率 。 

(5) 用 Systemd 替换 SysVinit: 更 好 的 服务 管理 框架 能 使 存在 依赖 的 服务 之 间 更 好 地 并 
行 化 。 

(6) Samba 重新 定义 为 4.7.1 版 。 

(7) GNOME Shell 升级 到 了 版 本 3.26。 

(8) 在 Amazon Web Services 和 Microsoft Azure 上 支持 Red Hat Enterprise Linux 高 可 用 性 
集群 。 


CentOS 7.5 有 许多 改进 ， 此 处 不 再 一 一 列举 ， 感 兴趣 的 读者 可 以 阅读 相关 文档 了 解 。 对 于 
运 维 人 员 而 言 ，CentOS 新 版 本 无 疑 会 在 功能 、 操 作 便捷 性 和 性 能 等 方面 带 来 巨大 改变 ， 甚 至 
一 些 操作 方式 (例如 防火 墙 、 系 统 服务 管理 ) 也 会 发 生 改变 这些 改 变 需 要 运 维 人 员 一 一 适应 ， 
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以 高 效 地 管理 你 的 系统 。 


] .已 Linux 运 维 工程 师 的 技能 


对 运 维 工程 师 而 言 , 需要 了 解 的 知识 可 以 归纳 为 宏观 和 微观 两 个 层面 。 宏观 层面 需要 了 解 
整个 系统 的 架构 , 不 同 的 服务 是 如 何 一 环 扣 一 环 协同 工作 的 ; 而 从 微观 层面 则 需要 运 维 工程 师 
了 解 系统 的 每 一 个 工作 步骤 。 本 节 将 试图 从 不 同 的 技术 层面 介绍 运 维 工程 师 需要 的 技能 。 


1.3.1 系统 和 系统 服务 


系统 作为 服务 的 承载 ， 无 论 是 在 安装 过 程 中 还 是 在 管理 、 维 护 过 程 中 都 需要 一 定 的 技能 ， 
这 些 技能 包括 : 基础 命令 的 使 用 、 系 统 中 的 工具 (例如 awk、sed、 日 志 工 具 等 )、 系 统 中 重要 
配置 文件 等 。 除了 这 些 基础 技能 之 外 ， 运 维 工程 师 还 需要 对 Linux 系统 本 身 有 一 定 的 了 解 ， 以 
便 排 错 及 优化 系统 。 

运 维 工 程 师 做 的 所 有 工作 都 是 为 了 应 用 系统 服务 能 正常 运行 , 因此 这 是 运 维 工程 师 技能 的 
核心 部 分 。 常 见 的 应 用 系统 服务 有 : 

(1) 网 页 服务 : Apache、Nginx 配合 PHP 无 疑 是 Linux 系统 中 最 常用 的 网 页 服务 器 平台 ， 
大 部 分 企业 都 会 使 用 这 两 个 软件 搭建 网 站 平台 , 因此 熟悉 这 两 种 软件 成 了 运 维 工 程 师 的 必 备 技 
能 之 一 。 通 常 需要 了 解 这 两 个 软件 的 安装 、 配 置 和 优化 及 如 何 配合 PHP 进行 工作 ， 当 然 最 重 
要 的 是 能 通过 日 志 排除 故障 。 

(2) 数据 库 : 与 网 页 服务 器 协同 运行 的 通常 还 有 数据 库 ， 虽 然 Linux 能 使 用 的 数据 库 有 
很 多 ， 例 如 MySQL、PostgreSQL、Oracle 等 ， 但 MySQL 无 疑 是 使 用 最 广泛 的 数据 库 软件 。 
因此 需要 熟练 地 安装 MySQL， 并 能 熟练 地 在 MySQL 数据 库 中 查询 、 插 入 、 修 改 、 删 除数 据 。 

(3) 脚本 语言 ， 随 着 自动 化 运 维 的 普及 ， 运 维 工程 师 会 接触 到 大 量 的 脚本 。 接 触 最 多 的 
当 属 Bash Shell 脚本 , 这 类 脚本 普遍 存在 于 Linux 系统 中 , 因此 必须 掌握 这 类 脚本 。 除 此 之 外 ， 
Python 和 Perl 也 是 运 维 中 经 常 使 用 的 语言 ， 但 这 二 者 通常 只 需要 熟练 地 使 用 一 种 即 可 。 

(4) 文件 服务 : 文件 服务 通常 是 FTP 和 Samba， 目 前 仍 有 不 少 企业 仍 在 使 用 这 类 服务 ， 
因此 需要 熟练 使 用 。 


除 以 上 列举 的 常见 应 用 系统 服务 之 外 ， 还 有 一 些 服务 ， 例 如 DNS、 邮 件 服 务 等 ， 这 些 服 
务 也 有 不 少 应 用 ， 此 处 不 再 一 一 列举 。 
1.3.2 ”网 络 知识 


网 络 承载 着 所 有 的 网 络 服务 , 是 运 维 工作 的 基础 所 在 。 目 前 大 部 分 企业 中 通常 会 有 专职 人 
员 管 理 网 络 , 因此 Linux 运 维 工 程 师 通常 无 须 处 理 与 网 络 有 关 的 事情 。 但 也 有 一 些小 型 企业 没 
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有 专门 的 网 络 管理 员 ， 这 时 就 需要 运 维 工程 师 自己 亲手 建立 网 络 或 在 已 有 网 络 上 进行 扩展 。 

由 于 Linux 中 的 系统 服务 与 网 络 息息相关 ， 因 此 无 论 所 在 企业 是 否 有 专职 网 络 管理 人 员 ， 
运 维 工程 师 都 需要 具备 一 定 的 网 络 知识 , 以 便 发 生 故 障 时 判断 问题 出 在 哪儿 。 网络 知识 可 以 概 
括 为 以 下 几 个 部 分 : 


(1) 网 络 基础 知识 部 分 : 包括 IP 地 址 与 子 网 、 路 由 等 。 无 论 企业 是 否 有 专职 网 络 管理 人 
员 ， 操 作 系 统 的 网 络 环境 都 要 运 维 工程 师 设置 ， 因 此 这 部 分 知识 必须 要 掌握 。 

(2) 网 络 结构 知识 部 分 : 包括 VLAN、 交 换 机 与 路 由 器 配置 、 网 络 拓扑 等 。 运 维 工程 师 
至 少 应 该 了 解 这 些 知 识 ， 以 便 准确 判断 故障 发 生 于 何 处 。 

(3) TCP 和 UDP 协议、 防火墙 ， 在 运 维 工作 中 这 些 知识 必 不 可 少 ， 例 如 优化 系统 、 防 
止 攻击 、 配 置 防火 墙 等 都 需要 这 些 知 识 。 

网 络 知识 远 不 止 以 上 列举 的 这 些 ， 但 对 于 运 维 工程 师 而 言 ， 不 必 完 全 掌握 ， 有 时 只 需要 了 
解 对 端 设 备 类 型 、 特 性 就 可 以 完成 大 部 分 工作 。 


1.4 4 闭 


Linux 是 一 个 免费 、 开 源 的 操作 系统 软件 ， 是 自由 软件 和 开源 软件 的 典型 代表 ， 很 多 大 型 
公司 或 个 人 开发 者 选择 使 用 Linux。Linux 在 服务 器 领域 也 具有 广泛 的 应 用 。 本 章 主要 介绍 了 
Linux 的 版 本 、CentOS 的 发 展 及 特点 ， 还 有 运 维 工 程 师 需 要 具备 的 技能 等 知识 。 


第 2 章 
跟 我 学 CentfOS 7.5 的 受 甘 


学 习 Linux 首先 要 了 解 Linux 的 安装 。 安 装 Linux 有 多 种 方法 ， 可 以 直接 将 Linux 安装 到 
某 台 机 器 上 ， 也 可 以 采用 虚拟 机 安装 。 本 章 首先 介绍 虚拟 机 的 相关 知识 ， 演 示 如 何在 虚拟 机 
上 安装 Linux， 然 后 介绍 Linux 的 其 他 安装 方式 。 通 过 学 习 本 章 内容 ， 读 者 可 以 掌握 Linux 的 
系统 安装 过 程 。 

本 章 主要 涉及 的 知识 点 有 : 
认识 虚拟 机 
如 何 安 装 Linux 
安装 后 如 何 进 行 配置 
旧版 本 如 何 升级 


安装 CentOS 7.5 必须 知道 的 基础 知识 


作为 一 个 企业 使 用 的 专业 操作 系统 ， 直 接 使 用 CentOS 7.5 对 初学 者 有 较 大 难度 。 这 是 因 
为 CentOS 7.5 中 有 许多 非常 专业 的 概念 和 软件 结构 , 在 正式 开始 之 前 ,本 节 将 介绍 安装 CentOS 
7.5 必须 知道 的 一 些 基础 知识 。 


2.1.1 磁盘 分 区 


安装 一 个 全 新 的 CentOS 7.5 如 同安 装 全 新 的 Windows 一 样 ， 都 需要 先 对 磁盘 进行 分 区 。 
对 于 个 人 学 习 用 户 而 言 , 推荐 读者 使 用 一 个 比较 合理 的 静态 分 区 方案 。 一 方面 静态 分 区 方案 不 
太 复 杂 ， 另 一 方面 手动 进行 分 区 方案 (而 不 是 由 安装 程序 自行 分 区 ) 可 以 认识 Linux 系统 中 各 
目录 的 作用 。 

在 Windows 系统 中 ， 分 区 类 型 是 一 个 已 经 被 淡化 的 概念 ， 但 在 Linux 系统 分 区 时 ， 这 些 
概念 依然 存在 。 因 此 首先 介绍 一 下 分 区 类 型 : 

(1) 主 分 区 : 主 分 区 可 以 直接 用 来 存放 数据 ， 但 在 一 个 硬盘 上 主 分 区 最 多 只 能 有 4 个， 
因此 如 果 想 在 一 个 硬盘 上 创建 4 个 以 上 分 区 ， 光 主 分 区 是 不 够 的 。 
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(2) 扩展 分 区 : 扩展 分 区 也 是 一 种 主 分 区 ， 但 不 能 用 来 存放 数据 。 可 以 在 扩展 分 区 之 上 
再 划分 可 以 存放 数据 的 逻辑 分 区 。 
(3) 逻辑 分 区 : 逻辑 分 区 是 在 扩展 分 区 的 基础 上 建立 的 ， 可 以 用 来 存放 数据 。 


从 上 面 的 介绍 中 可 以 看 出 ， 如 果 需 要 划分 4 个 以 上 分 区 ， 就 必须 使 用 扩展 分 区 ， 然 后 在 扩 
展 分 区 的 基础 上 划分 多 个 逻辑 分 区 。 

明白 了 分 区 类 型 的 概念 之 后 ， 安 装 CentOS 7.5 时 还 需要 制订 一 个 分 区 方案 。 在 制订 分 区 
方案 之 前 首先 需要 明确 一 个 概念 ， 在 Windows 系统 中 ， 不 同 的 分 区 被 使 用 C、D、E 等 盘 符 替 

， 只 要 进入 这 些 盘 符 就 进入 了 相应 的 分 区 。 但 在 Linux 系统 中 没有 盘 符 的 概念 ,不 同 的 分 区 
被 挂 在 不 同 的 目录 下 面 ,这 个 过 程 称 为 挂 载 , 目录 称 为 挂 载 点 。 只 要 进入 挂 载 点 目录 就 进入 了 
相应 的 分 区 ， 这 样 做 的 好 处 是 用 户 可 以 按 自己 的 需要 为 某 个 目录 单独 扩展 空间 。 

制订 分 区 方案 首先 需要 了 解 自己 的 需求 ， 生 产 环境 中 的 系统 与 以 学 习 为 目的 的 分 
肯定 不 同 。 对 于 以 学 习 为 目的 的 初学 者 而 言 ， 一 个 简单 的 分 区 方案 应 该 包括 以 下 内 容 : 


(1) /boot: 创建 一 个 300MB~500MB 的 分 区 挂 载 到 /boot 下 面 ， 这 个 分 区 主要 用 来 存放 
系统 引导 时 使 用 的 文件 ， 通 常 称 为 引导 分 区 。 

(2) swap 分 区 : 这 个 分 区 没有 挂 载 点 ， 大 小 通常 为 内 存 的 2 倍 。 系 统 运 行 时 ， 当 物理 内 
存 不 足 时 ， 系 统 会 将 内 存 中 不 常用 的 数据 存放 到 swap 中 ， 即 swap 此 时 被 当 作 了 虚拟 内 存 。 

(3) 根 分 区 “/”: 根 分 区 的 挂 载 点 是 “/”， 这 个 目录 是 系统 的 起 点 ， 可 以 将 剩余 的 空间 
都 分 到 这 个 分 区 中 。 此 时 该 分 区 中 包含 了 用 户 家 目录 、 配 置 文件 、 数 据 文件 等 内 容 ， 初 学 者 系 
统 中 的 这 些 数据 都 不 会 太 多 ， 因 此 推荐 将 它们 都 放 在 一 起 。 

以 上 就 是 一 个 简单 的 分 区 方案 , 初学 者 也 可 以 尝试 将 再 多 划 几 个 分 区 , 将 其 他 目录 也 挂 载 
到 分 区 中 ， 例 如 分 一 个 500MB 的 分 区 挂 载 到 用 户 家 目录 /home 下 面 。 如 果 是 生产 环境 就 需要 
根据 具体 业务 来 决定 分 区 方案 ,生产 环境 分 区 方案 一 般 奉 行 系统 、 软 件 与 数据 分 开 的 原则 ， 即 
操作 系统 和 应 用 软件 放 在 本 地 硬盘 上 ， 数 据 单独 存放 于 存储 或 单独 的 分 区 中 。 这 种 方案 一 方面 分 
类 清晰 ， 读 写 速度 相对 更 快 ， 另 一 方面 即使 存放 系统 和 软件 的 硬盘 损坏 ， 数 据 也 不 会 有 所 损失 。 


Xl 


方案 


二 分 区 类 型 在 安装 操作 系统 时 不 会 有 具体 体现 ， 但 在 操作 系统 安装 完成 后 使 用 fdisk 等 工具 
[添加 新 硬盘 分 区 时 会 用 到 。 


2.1.2 ”静态 分 区 的 缺点 及 逻辑 卷 管理 简介 


对 于 普通 用 户 而 言 , 直接 对 硬盘 分 区 , 然后 挂 载 这 种 使 用 静态 分 区 的 方法 几乎 没有 什么 问 
题 。 但 对 于 某 些 特定 的 生产 环境 而 言 ， 这 种 方法 次 大 于 利 。 例 如， 要求 不 间断 运行 的 数据 库 中 
心 , 这 类 服务 会 随时 间 增 加 逐渐 占用 大 量 硬盘 空间 。 如 果 使 用 静态 分 区 方案 , 这 类 服务 会 在 硬 
盘 空 间 耗 尽 后 自动 停止 ， 即 使 运 维 工程 师 及 早 发 现 ， 也 会 在 更 换 硬 盘 时 停止 服务 。 因 此 这 类 要 
求 不 间断 运行 的 服务 ， 最 好 不 要 使 用 静态 分 区 方案 。 

为 了 防止 需要 不 间断 运行 服务 因 人 硬盘 空间 耗 尽 而 停止 ， 此 时 应 该 采用 更 加 先进 的 逻辑 卷 
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管理 (Logical Volume Manager，LVM) 方案 。LVM 先 将 硬盘 分 区 转化 为 物理 卷 (PV)， 然 后 
将 物理 卷 组 成 卷 组 (VG)， 然 后 在 卷 组 的 基础 上 再 划分 逻辑 卷 LV)， 最 后 就 可 以 使 用 逻辑 卷 
存放 数据 了 。 使 用 逻辑 卷 有 以 下 优点 : 


(1) 可 以 解决 硬盘 空间 不 足 ， 需 要 停止 服务 迁移 数据 的 问题 。 虽 然 在 划分 逻辑 卷 时 指定 
了 大 小 ,但 只 要 卷 组 中 还 有 剩余 空间 ， 就 可 为 逻辑 卷 扩 容 。 扩 容 过 程 是 在 线 进行 的 ， 这 意味 着 
无 须 停止 服务 就 可 以 进行 。 即 使 卷 组 中 没有 剩余 空间 ,也 可 以 向 卷 组 添加 新 物理 卷 为 卷 组 扩容 。 

(2) 当 硬 盘 空 间 不 足 时 ， 可 以 添加 更 大 的 硬盘 ， 从 而 将 卷 组 中 那些 容量 较 小 的 硬盘 移出 
卷 组 ， 这 个 过 程 也 可 以 在 线 进行 ,无须 关 闭 服务 。 

(3) 可 以 为 逻辑 卷 添加 快照 卷 ， 利 用 这 一 功能 可 以 实现 数据 备份 等 操作 ， 而 无 须 担心 数 
据 的 一 致 性 受到 影响 。 

逻辑 卷 管理 还 有 许多 其 他 可 能 , 例如 减 小 逻辑 卷 空间 等 ， 此 处 不 再 一 一 介绍 , 感 兴趣 的 读 
者 可 以 自行 阅读 相关 文档 了 解 。 虽然 逻辑 卷 有 诸多 好 处 , 但 依然 建议 初学 者 在 安装 系统 时 使 用 
静态 分 区 ， 待 系统 安装 好 之 后 再 学 习 轴 辑 卷 操作 。 


2.1.3 ”虚拟 化 和 VMware Workstation 简介 


虚拟 化 技术 是 指 在 一 台 计算 机 上 同时 运行 多 个 逻辑 计算 机 ,这 些 逻 辑 计算 机 可 以 运行 不 同 
的 操作 系统 ， 拥 有 相互 独立 的 CPU、 内 存 等 硬件 ， 运 行 时 互相 不 影响 。 虚 拟 化 技术 的 好 处 是 
将 CPU、 内 存 等 硬件 资源 实现 动态 分 配 、 灵 活 高 度 使 用 ， 从 而 提高 资源 的 利用 效率 。 如 今 虚 
拟 化 厂商 和 相关 的 虚拟 化 软件 有 许多 ， 但 对 于 初学 者 普遍 推荐 使 用 VMware 公司 的 
Workstation 。 

VMware 公司 是 最 早 从 事 虚拟 化 技术 的 公司 之 一 ， 也 是 虚拟 化 技术 的 领导 厂商 ， 公 司 针对 
不 同 的 客户 需求 开发 了 许多 虚拟 化 产品 。 例 如 针对 个 人 桌面 的 Workstation， 用 于 企业 环境 的 
VMware vSphere 等 。 本 书 中 多 使 用 VMware Workstation 做 演示 ，VMware Workstation 运行 时 
界面 如 图 2.1 所 示 。 
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图 2.1 VMware Workstation 运行 界面 
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Workstation 可 以 虚拟 许多 操作 系统 例如 Windows 10. 各 种 发 行 版 的 Linux 和 UNIX Solaris、 
Novell NetWare 等 。 为 了 读者 能 更 好 地 使 用 Workstation， 现 将 一 些 常 见 使 用 技巧 列举 如 下 : 


(1) 虚拟 机 的 监视 器 : 打开 某 个 虚拟 机 的 电源 之 后 ，Workstation 会 自动 显示 虚拟 机 监视 
器 。 将 鼠标 移动 到 监视 器 内 并 单 击 ，Workstation 会 自动 将 鼠标 和 键盘 的 控制 权 交 给 正在 运行 
的 虚拟 机 。 如 果 要 让 宿主 计算 机 重新 获得 鼠标 和 键盘 的 控制 权 ， 可 以 使 用 AlttCtrl 快捷 键 。 

(2) 当 虚 拟 机 获得 鼠标 和 键盘 的 控制 权 后 ， 可 以 进行 任何 输入 和 控制 ， 但 使 用 组 合 键 
Altr+Ctrl+Del 将 被 宿主 计算 机 获得 ， 此 时 可 以 使 用 AlttCtrltInsert 蔡 代 或 在 菜单 栏 的 虚拟 机 下 
面 单 击发 送 AltrCtrl+Del。 

(3) Workstation 为 虚拟 机 提供 了 多 种 网 络 : 如 果 要 让 虚拟 机 使 用 宿主 机 的 网 络 可 以 使 用 
桥接 模式 (bridged); 如 果 仅 想 让 虚拟 机 连接 网 络 可 以 选择 NAT 模式 ; 如 果 只 想 让 宿主 机 与 虚 
拟 机 通信 可 以 使 用 仅 主 机 模式 (Host-Only); 如 果 宿 主机 有 多 个 网 络 ， 可 以 在 虚拟 网 络 编辑 器 
中 设置 。 

(4) Workstation 附带 有 快照 功能 ， 使 用 快照 功能 将 虚拟 机 保持 在 某 一 刻 ， 使 用 一 段 时 间 
后 返回 做 快照 的 时 刻 。 


Workstation 是 一 个 功能 十 分 强大 的 虚拟 化 软件 ， 其 使 用 方法 和 技巧 有 很 多 ， 此 处 不 再 一 
-介绍 ， 感 兴趣 的 读者 可 以 自行 阅读 相关 文档 了 解 。 


VMware Workstation 是 一 个 收费 软件 ， 读 者 完全 可 以 选择 Oracle VM VirtualBox 这 类 免费 
世 ” 软件 来 葵 代 。 


2.1.4 下 载 CentOS 7.5 
要 安装 CentOS 7.5， 首 先 需要 从 其 官方 网 站 上 下 载 ,其 官方 网 站 为 http://www.centos.org/。 
可 以 直接 在 浏览 器 中 输入 网 址 访问 ， 也 可 以 在 搜索 引擎 中 输入 CentOS， 然 后 在 搜索 结果 中 选 
择 其 官方 网 站 访问 ， 如 图 2.2 所 示 。 
万 CentOS 


The CentOo5 Project 


图 2.2 CentOS 官方 网 站 


CentOS 7.5 系统 管理 与 运 维 实战 


在 其 官方 网 站 中 单 击 左 上 方 的 “GET CENTOS” 或 单 击 下 方 的 “Get CentOS Now” 按 钮 ， 
在 下 载 页 面 中 选择 安装 镜像 类 型 。 此 处 选择 “DVD ISO” 标 准 安装 镜像 即 可 ， 接 下 来 的 页 面 
将 选择 从 哪个 镜像 站 点 下 载 ， 国 内 通常 可 以 使 用 网 易 、 中 国 科技 大 学 〈 网 址 开头 为 
http://centos.ustc.edu.cn) 等 速度 不 错 的 站 点 。 

除了 DVD 标准 安装 镜像 之 外 ， 还 有 Everything 版 〈 完 整 版 安装 光盘 )、NetImstall 版 (网 
络 安装 映像 ) 等 ， 这 些 安装 镜像 都 可 以 从 http://mirrors.163.com/centos/7/isos/x86_64/ 处 下 载 。 
CentOS 7.5 DVD 版 本 对 应 的 文件 是 CentOS-7-x86_64-DVD-1804.iso, Everything 版 本 对 应 的 文 
件 是 CentOS-7-x86_64-Everything-1804.iso。 其 中 文件 名 最 后 的 1804 代表 的 就 是 CentOS 7.5 版 


下 载 完成 后 是 一 个 扩展 名 为 iso 的 光盘 映像 文件 ， 可 以 使 用 软 碟 通 、Alcohol 120% 等 软件 
| 将 光盘 映像 文件 刻录 为 光盘 使 用 ， 虚 拟 机 也 可 以 直接 使 用 映像 文件 作为 光盘 使 用 。 


2 .2 安装 Centos75 


完成 之 前 的 知识 积累 和 软件 下 载 后 ， 就 可 以 开始 安装 CentOS 7.5 了 。 读 者 可 能 会 遇 到 不 
同 的 环境 ， 因 此 本 节 将 模拟 不 同 的 环境 ， 使 用 不 同 的 方法 安装 CentOS 7.5。 


2.2.1 创建 虚拟 机 


在 虚拟 中 单 击 菜单 栏 中 的 “文件 ”在 弹出 的 菜单 中 选择 “新 建 虚拟 机 ”之 后 将 弹出 新 建 
虚拟 机 向 导 ， 如 图 2.3 所 示 。 


欢迎 使 用 新 建 虚 拟 机 向 导 


1 4 您 希望 使 用 什么 类 于 7 


辐 奥 型 (推荐 )(T) 
通过 几 个 简单 的 步骤 创建 Workstation 14.x 
虚拟 机 > 


WORKSTATION 


9 自 定义 ( 坟 级 XC) 
人 着 有 SCSI 近 制 关 更 、 谎 庆生 类 和 
以 及 与 旧版 VMware 产品 凶 罕 性 等 训 训 放大 
的 上 瓜 机 * 


< 上 - 步 B) | [下 -上 0 > | [取消 
图 23 新 建 虚拟 机 向 导 
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首先 需要 选择 采用 什么 类 型 新 建 虚拟 机 ,如 果 使 用 自 定义 , 向 导 将 会 要 求 用 户 选择 虚拟 机 
的 兼容 版 本 、SCSI 控制 器 类 型 等 ， 此 处 选择 “典型 ”， 然 后 单 击 “ 下 一 步 ” 按 钮 。 接 下 来 向 导 
会 要 求 用 户 选择 安装 来 源 ， 如 图 2.4 所 示 。 

通常 不 建议 大 家 在 此 处 选择 安装 光盘 ， 此 处 建议 选中 “ 稍 后 安装 操作 系统 ”， 并 单 击 “ 下 
一 步 ” 按 钮 。 接 下 来 向 导 会 提示 用 户 选择 操作 系统 类 型 ， 如 图 2.5 所 示 。 


安村 吾 户 机 作 系统 过 和 择 宁 刻 机 返 作 系统 
| 志 W 机 如 同 梓 理 机 需要 所 作 系统 。 你 如 朵 安装 答 户 授 作 系统 7 志 夫 机 直接 安 革 和 所 作 系 纺 7? 
天 襄 F 机 失 作 采 统 
> 9 © Mirosort wndows(W) 
避 安 半 程 序 光盘 (D): ER 
国 pw Rv 要 动 加 (F) © Novel NetWare(E) 
© soars(5) 
© Nware ESX(X) 
刁 其 他 (0}) 
三 窜 半 程 床 光 生出 人 立 件 (goXM): 
[ENomlan_ wndows_10_busnass_edtions version_1803 ~ DR). WI | 
[Eeeos7g 人 ] 
国清 后 半 作 系统 (5)。 | 
人 的 丰 扩 机 将 志 人 一 个 宇 自 呈 
[7 CEs | [TH>] mn | Cum |] [Eee)] [FT-py> | [ mh | 
一 
2.4 选择 安装 来 源 图 2.5 选择 操作 系统 类 型 


此 处 选择 “客户 机 操作 系统 ”为 “Linux”， 然 后 在 “版 本 ”列表 中 选择 “CentOS 7.5 64 
位 ” 然后 单 击 “下 一 步 ” 按 钮 。 接 下 来 向 导 会 提示 用 户 命名 虚拟 机 ， 如 图 2.6 所 示 。 

在 虚拟 机 名 称 中 输入 虚拟 机 名 ,然后 单 击 位 置 后 面 的 “浏览 ”按钮 ， 选 择 虚 拟 机 文件 保存 
的 目录 ， 最 后 单 击 “ 下 一 步 ” 按 钮 进入 指定 磁盘 容量 页 面 ， 如 图 2.7 所 示 。 


命名 点 羽 机 拉客 量 | 
你 洒 记 深 虹 代 机关 用 什么 各 各? 全 大 小 为 少 ? 
: 开机 的 证 多 作为 一 或 让 人 丰 导 在 主机 潜 理 骸 中 。 这 些 广 伯 最 总 很 小 ， 肝 革 和 
es 同和 所 机 中 六 加 人 所 各 序 、 芭 件 可 搓 而 过 新 呈 大 。 
最 大 磋 熏 大 小 (GBJ(S Enal 
让 鞭 对 CentDS 7 64 位 的 建议 大 小 : 20 G8 
EE\ 谨 拟 机 \Centos7.5 3 
EM DE 国庆 全 为 个 文件 (0) 
| 有 区 虚 瓜 磋 盘 折 分 成 个 文件 (N) 
间 后 可 4 机 之 于 动用 ， 介 本 能 人 大 守重 有 的 性 
[CE | [FSM> [ BA ] [EE ”| Ee) [FS0)> [| BR | 
2.6 命名 虚拟 机 图 2.7 指定 磁盘 容量 


如 果 仅 需要 安装 基本 版 的 CentOS 7.5, 磁 盘 空 间 10GB 已 经 足够 使 用 ,我 们 这 里 选择 20GB， 
方便 后 续 安装 其 他 软件 ; 如 果 要 存放 其 他 文件 则 按 文 件 大 小 调整 硬盘 空间 大 小 。 之 后 将 选择 虚 
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拟 磁盘 存储 为 单个 文件 还 是 多 个 文件 , 这 是 由 存放 虚拟 机 文件 的 分 区 类 型 决定 的 。 如果 分 区 的 
文件 系统 类 型 为 FAT32， 则 必须 选择 存储 为 多 个 文件 ， 这 是 因为 FAT32 不 支持 4GB 以 上 的 单 
个 文件 。 用 户 可 以 在 对 应 的 盘 符 上 单 击 鼠 标 右键 ， 选 择 “属性 ”命令 ， 在 弹出 的 常规 页 面 中 查 
看 文件 系统 类 型 。 选 择 好 磁盘 选项 后 ， 单 击 “ 下 一 步 ”按钮 就 会 弹出 完成 创建 页 面 ， 如 图 2.8 


所 示 。 
CE 
| 
| “已 准备 好 创建 虚拟 机 

单 击 ` 完 成“ 建 虚 拟 机 。 然 后 可 以 安装 Cent05 7 64 位 。 


将 使 用 下 列 设置 创建 虚拟 机 : 
名 称 : CentOS7.5_64 
位 置 : 已 \ 虚 拟 机 \Centos7.5 
版 本 : Workstation 14.x 
操作 系统 : Cent05 7 64 位 
硬盘 : 20 GB 
内 存 : 1024 MB 
网 络 适 配器 : NAT 
其 他 设备 : CD/DVD, USB 控制 器 , 打印 机 , 声卡 
自 定义 硬件 (C)… 


区 上 = 上 ae)] [站 ] BN |] 


图 2.8 完成 创建 页 面 


在 完成 创建 页 面 中 ， 单 击 “ 自 定义 硬件 ”按钮 ， 弹 出 修改 虚拟 机 的 硬件 设备 页 面 。 在 自 定 
义 硬 件 设备 页 面 中 ， 需 要 检查 内 存 容量 是 否 大 于 512MB， 若 小 于 则 CentOS 7.5 无 法 启动 安装 
程序 ， 如果 要 使 用 U 盘 、 移 动 硬盘 等 设备 ， 硬 件 中 必须 包含 USB 控制 器 :安装 时 需要 使 用 光 
盘 ， 因 此 CD/DVD 设备 也 必 不 可 少 。 确 认 以 上 信息 之 后 ， 单 击 “ 完 成 ”按钮 ， 完 成 虚拟 机 创 
建 。 


2.2.2 ”用 光盘 安装 CentOS 7.5 
Linux 的 安装 方法 有 很 多 种 ， 本 小 节 主 要 以 光盘 安装 为 例 介 绍 Linux 的 安装 过 程 及 相关 的 
参数 设置 。 详 细 步骤 如 下 : 


GI01 打开 创建 的 虚拟 机 , 单 击 “ 编 辑 虚 拟 机 设置 ”, 或 在 主 窗 体 右 侧 库 中 找到 新 建 的 
虚拟 机 后 右 击 ， 在 弹出 的 菜单 中 选择 “设置 ”命令 ， 调 出 虚拟 机 设置 窗口 ， 如 图 2.9 所 示 。 
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已 连接 (C] 
团 启 :加 护 接 (0) 


连接 


使 用 物理 驱动 器 (P): 
自动 柱 贡 
全 使 用 150 映像 文件 (M): 


ES 软件 \CentOS-7-x86_64 > 


图 2.9 虚拟 机 设置 窗口 
在 虚拟 机 设置 窗口 中 单 击 硬件 选项 中 的 “CD/DVD (IDE)” 然后 在 右 侧 选择 “使 用 物理 
驱动 器 ”( 使 用 宿主 机 的 光驱 ) 或 “使 用 ISO 映像 文件 ”。 读 者 可 根据 实际 情况 进行 选择 ， 此 


例 中 选择 “使 用 ISO 映像 文件 ”并 单 击 “ 浏 览 ”按钮 选择 下 载 的 光盘 文件 〈 见 图 2.10)， 完 成 
后 单 击 “ 确 定 ”按钮 保存 设置 即 可 。 


是 ， 计 自作 ， dev (E) > 软件 


四 加 IE 万 
组 织 ” 。 新 建交 从 =- B®@ 
| rs 区 俐 改 日 期 3 
| mum ; 2 _ 
下 四 CentOS-7-x86.64-DVD-1804.jso 2018/8/29 1553 元 例 污 像 文 | 
| 
加 OneDrive EE 
人 wpsEX 配 
EL 
司 Gk 
司 subversion 
CE 
司 画 上 
os , a 
文件 各 (Ni CentOS-7-x86.64-DVD-1804iso ~ 
GE |] 


2.10 选择 ISO 镜像 


CJ02 通过 以 上 步骤 即 可 完成 虚拟 机 的 参数 设置 ,下 一 步 是 启动 虚拟 机 。 单 击 “ 开 局 此 
虚拟 机 ”选项 或 单 击 其 中 的 绿色 箭头 即 可 启动 虚拟 机 ， 如 图 2.11 所 示 。 
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UM) ”和 远 项 卡 (T) 帮助 (H) 


到 我 9 计算 机 Centos75 | 
CentOS7.5 64 


硬件 荐 窜 性 : 
主 坟 地址 : 中 


图 2.11 启动 虚拟 机 
于 03 启动 后 耐心 等 待 安装 程序 引导 完毕 ， 即 进入 Linux 的 安装 界面 。Linux 的 安装 和 
Windows 的 安装 类 似 ， 如 图 2.12 所 示 


a & install Cent0S 7 


Autonatic boot in 55 seconds, 


图 2.12 ”Linux 引导 选择 画面 
界面 中 给 出 了 三 个 选项 ， 即 “Install CentOS 7.5”“Test this media & install CentOS 7.5” 和 和 
“Troubleshooting”。 第 一 个 选项 表示 直接 安装 CentOS 7.5, 第 二 个 选项 表示 先 测试 光盘 有 无 错 
误 再 安装 ， 第 三 个 选项 主要 用 来 测试 内 存 和 启动 救援 模式 修复 已 存在 的 CentOS。 此 示例 中 选 
择 第 一 项 ， 直 接 安装 CentOS 7.5， 如 果 对 安装 光盘 表示 怀疑 也 可 以 选择 第 二 项 。 
选中 第 一 项 “Install CentOS 7.5” 并 按 Enter 键 ， 等 待 数秒 后 会 提示 用 户 按 Enter 键 启动 安 
装 程序 ， 此 时 可 以 按 Enter 键 或 等 待 数秒 待 系统 自动 启动 安装 程序 。 
[04 安装 程序 启动 后 ， 首 先 会 提示 用 户 在 安装 过 程 中 使 用 的 语言 ， 如 图 2.13 所 示 。 
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CENTOS 7 INSTALLATION 

只 
CentOS WELCOME TO CENTOS 7. 


What language would you like to use curing the installation process? 


English (United Kingdom) 
English (India 


Arrkaans 


AACF 
English (Australis) 
aul 
6 English (Canada) 
i a 
English (Denmark) 
Asturlanu English (reland) 
6enapyckag English (New Zealand) 
Eenrapom English (Nigeria) 
aa English (Hong Kong SAR China) 
earch a 


our Continue 


2.13 ”安装 程序 询问 安装 过 程 中 使 用 的 语言 


此 处 可 以 保持 默认 ， 也 可 以 在 左 侧 选项 中 选择 “中 文 ”、 在 右 侧 选择 “简体 中 文 〈 中 

国 ) ”。 需 要 注意 的 是 , 此 处 选择 的 语言 仅 为 安装 过 程 中 使 用 的 语言 ， 并 不 影响 系统 的 最 终 语言 。 

本 例 中 左 侧 选择 “中 文 ”， 右 侧 选择 “简体 中 文 中国) ”， 单 击 Continue 按钮 完成 设置 。 
人 05 接 下 来 安装 程序 将 显示 安装 信息 摘要 界面 ， 如 图 2.14 所 示 。 


安装 信息 摘要 CENTO5 7 安装 
图 
本 地 化 
日 期 和 时 间 (T) 键 得 (K) 
亚洲 /上 海 电 区 识 语 
语言 支持 (L) 
前 傈 中 文 (中国 ) 
软件 
安装 源 (1) 软件 选择 (5) 
本 地 介质 是 小 安装 
系统 
安装 位 置 (D) 网 络 和 主机 名 (N) 
六 。 已 迁 主 自 动 分 区 未 连接 
还 tol 
在 启 击 “ 卉 苔 天 其 ”攻打 前 我 们 并 不 会 冯 


图 2.14 安装 信息 摘要 界面 
安装 程序 将 需要 用 户 设置 的 信息 分 为 三 个 部 分 : 本 地 化 、 软 件 和 系统 。 完 成 这 些 设置 后 
方 可 继续 安装 。 


CT06 如 图 2.14 所 示 ， 在 本 地 化 中 系统 已 经 按 之 前 设置 的 语言 预 设 了 时 区 、 键 盘 类 型 
和 语言 支持 三 个 选项 ， 若 需要 修改 ,直接 用 鼠标 单 击 对 应 的 图 标 即 可 。 首先 日 期 和 时 间 中 的 时 
区 已 经 被 设置 为 “亚洲 /上 海 ”， 单 击 “ 日 期 和 时 间 ” 会 弹出 日 期 和 时 间 设置 窗口 。 
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在 日 期 和 时 间 设 置 窗口 中 ， 可 以 在 地 区 和 城市 中 选择 需要 使 用 的 时 区 ， 也 可 以 在 下 方 地 
图 中 单 击 对 应 的 区 域 来 设置 时 区 。 网 络 时间 设 置 是 用 来 设置 是 否 让 操作 系统 自动 从 时 间 服 务 器 
同步 时 间 ， 设 置 此 项 需要 在 系统 设置 中 先 设置 网 络 。 如 果 已 经 设置 网 络 ， 可 以 拖 动 网 络 时 间 后 
面 的 滑 块 至 开启 位 置 即 可 ， 如 需 对 时 间 服 务 器 进行 设置 ， 可 以 单 击 滑 块 右 侧 的 齿轮 按钮 添加 或 
删除 时 间 服 务 器 。 

在 窗口 的 下 方 可 以 设置 当前 日 期 和 时 间 及 时 间 显 示 的 制式 等 〈 见 图 2.15)， 读 者 按 需 要 进 
行 设置 即 可 ， 完 成 设置 后 单 击 左 上 方 的 “完成 ”按钮 返回 安装 信息 摘要 界面 。 


rm rmi 医 
© 14 小 时 SOH) 
二 MA 三 vv|13v|2015v 
11:08 二 
2 SC NA 


图 2.15 设置 当前 日 期 和 时 间 
本 地 化 中 的 键盘 选项 已 被 设置 为 “汉语 ”， 而 “语言 支持 ”选项 中 也 已 自动 选择 添加 简体 
中 文 支持 ， 通 常 都 无 须 再 做 设置 。 


村 | 若 选择 英语 作为 系统 的 默认 语言 ， 也 应 该 在 “语言 支持 ”中 选择 安装 简体 中 文 相关 的 软件 
| 包 ， 否 则 某 些 中 文 命名 的 文件 可 能 无 法 正常 显示 。 


人 7 安装 信息 摘要 界面 中 的 软件 部 分 , 主要 是 用 来 定制 需要 安装 的 软件 包 及 软件 包 的 
来 源 。 其 中 安装 源 表示 安装 时 软件 包 的 来 源 ， 此 时 安装 程序 已 自动 将 来 源 设置 为 本 地 介质 ( 光 
盘 )， 无须 修 改 。 软 件 选择 选项 表示 安装 操作 系统 时 需要 一 并 安装 的 软件 ， 默 认 设置 为 最 小 安 
装 ， 即 只 安装 系统 最 基本 的 组 件 ， 单 击 软件 选择 进入 软件 定制 界面 ， 如 图 2.16 所 示 。 


基本 环境 已 选 环境 的 独 加 选项 


门 ” 闽 理性 程序 库 
用 于 在 红 由 企业 版 Lnux 的 之 前 版 杰 中 构建 的 订 用 程序 的 
藉 罕 程序 庄 . 


了 基础 讽 放 服 务 痊 
用 于 提 作 网 络 基 设 施 最 务 的 服务 器 - 


门 开县 工具 
文件 及 打印 服务 着 一 系 本 开发 环境 

用 于 企业 的 文件 、 打印 太 存 借用 务 吕 . 局 重信 人 页 的 

基本 网 页 服务 名 支持 使 用 千 第 卡 狂 证- 
是 供 各 及 及 互 联网 内 容 的 服务 攻 . 

庶 涩 化 主机 

是 小 让 所 化 主机 ， 

第 6u1 的 服务 器 


带 有 用 于 卉 作 网 培 基 而 设 必 用 芳 GUI 的 服务 器 


SNOME 桌面 
GNOME 是 一 个 非常 直观 目 用 户 友 虹 的 宙 区 汪 境 。 


一 个 高 要 可取 置 隐形 用 户 
系统 加 标 以 及 课 看 向 导 和 


开发 及 生成 工作 站 
用 于 款 件 、 硬 件 、 图 形 或 者 内 容 开发 的 工作 让。 


图 2.16 软件 定制 界面 


软件 定制 界面 左 侧 是 系统 预定 义 的 基本 环境 ， 按 用 途 不 同 可 以 分 为 基础 设施 服务 器 、 文 
件 及 打印 服务 器 、 基 本 网 页 服务 器 和 虚拟 化 主机 等 。 右 侧 则 为 每 个 基本 环境 中 附加 软件 选项 ， 
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此 处 可 以 根据 自身 需求 选择 基本 环境 ， 需 要 注意 的 是 某 些 基 本 环境 默认 没有 安装 图 形 界面 ， 对 
于 初学 者 此 处 可 选择 “GNOME 桌面 ”。 选择 完成 后 单 击 左 上 角 的 “完成 ”按钮 返回 安装 信息 
摘要 界面 返回 后 安装 程序 将 重新 计算 软件 依赖 关系 此 过 程 中 软件 部 分 的 选项 将 显示 为 灰色 

08 系统 部 分 要 求 用 户 设置 硬盘 分 区 方案 和 网 络 连 接 此 时 安装 程序 已 自动 将 硬盘 分 
区 方案 设置 为 自动 分 区 ， 但 要 求 用 户 确认 ， 如 图 2.14 所 示 。 单 击 “ 安 装 位 置 ”进入 “安装 目 


标 位 置 ”选择 界面 ， 如 图 2.17 所 示 。 


安装 目标 位 置 


RD) 


设备 选择 


选择 要 在 其 中 安装 系统 的 设备 。 点 击 主 菜单 中 的 开始 安装 按钮 表 不 会 寺 该 设备 进行 任何 操作 。 


本 地 标准 而 和 
20 56 


VMware VMware Virtual Ss 
sda / 20 GB 空 并 
专用 六 盘 上 同和 
日 
释 加 感 盘 (人 )- 
其 它 存储 选项 
© PKU RE 人 E/. 


再 让 最 让 罕 则 四 用 [MI 。 
加 本 


网 区 六 摘要 以 及 引导 程序 ( 


不 合计 天 在 此 处 雪 阳 89 加 记 许 何 财 作 。 


不 要 到 不 在 此 业 切 19 加 训 济 任何 少 fF。 


巡天 1 个 六 外; 窑 是 20 G8 ; 20 Ge 空间 出 疡 (8) 


图 2.17 “安装 目标 位 置 ” 界面 
在 安装 目标 位 置 界面 中 , 首先 需要 用 户 确认 安装 的 磁盘 , 此 处 已 选择 了 一 个 本 地 磁盘 sda， 
容量 为 20GB， 空 闲 空间 为 20GB。 本 地 标准 磁盘 下 面 是 存储 添加 区 域 ， 如 果 需 要 使 用 额外 的 
存储 ,可 以 在 设置 网 络 之 后 单 击 “ 添 加 硬盘 ”选项 添加 额外 的 存储 。 在 最 后 的 “其 他 存储 选项 ” 
中 ,可 以 选择 手动 分 区 和 系统 是 否 加 密 (通常 不 选择 加 密 选项 )。 选 择 “ 我 要 配置 分 区 ”， 然 后 
单 击 左 上 角 的 “完成 ”按钮 进入 分 区 界面 ， 如 图 2.18 所 示 。 


-新 centos 7 安装 


人 没有 为 
以 


5 7 的 安 和 他 是 任 月 柱 开 点 。 代 可 


» PAM ( 
于 过 入 者-+ 要 包 于 斩 疾 人 
组 点 料 仙 光 以 下 分 区 方案 CN) : 

bw » 


er 
En Ey 

20 GiB 昌 2o GiB 
入 择 工 个 丰 生 设 熏 (S] 


在 各 为 CetOs 7 要 灶 创 建 划 上 后， 区 在 这 时 浏览 忆 们 的 译 经 信 
a 


全 村 下 Il 


图 2.18 手动 分 区 界面 


到 


CentOS 7.5 系统 管理 与 运 维 实战 


在 “手动 分 区 ”界面 中 可 以 看 到 ， 这 是 一 个 新 的 CentOS 7.5 安装 ， 分 区 方案 可 以 有 多 种 
选择 ， 本 例 中 将 选择 标准 分 区 。 然 后 单 击 下 方 的 “+” 按 钮 添加 分 区 ， 此 时 将 弹出 添加 分 区 窗 
口 ， 如 图 2.19 所 示 。 


添加 新 挂 载 点 


在 下 方 创建 挂 载 点 后 
有 更 多 自 定义 选项 可 用 。 


挂 和 点 P: 上 ~ 


期 望 容量 (D): 


取消 (C) 添加 挂 载 点 (A) 
图 2.19 添加 分 区 窗口 
添加 分 区 窗口 主要 有 两 项 需要 用 户 设置 , 第 一 项 为 挂 载 点 即 系统 目录 , 第 二 项 为 期 望 容量 ， 
此 处 填 入 分 区 大 小 ， 默 认 单位 为 MB， 也 可 以 使 用 2GB、100MB 等 形式 。 本 例 将 使 用 最 基本 
的 分 区 方案 ， 依 次 添加 挂 载 点 为 “/boot” 的 引导 分 区 ， 空 间 大 小 为 500MB; 挂 载 点 为 “swap” 
的 交换 分 区 ， 大 小 为 2048MB; 挂 载 点 为 根 分 区 的 “/”， 期 望 容量 不 填 〈 将 默认 使 用 剩余 所 有 
空间 )。 分 区 完成 后 将 显示 分 区 方案 ， 如 图 2.20 所 示 。 


~ 新 centos 7 安装 centos-root 
总 S00MB | AO): 设备 : 
sdal 1 VMware VMware Virtual S 
cd 
17.51 GB am..(M) 
swap 2048 MIB 
rtos-soap 
设备 美 型 : Volume Group 
Lv = | [mg(6) centes (06 衬 间 ) 
文件 系统 (Y) : 人 
4 cE 
标签 Q 名 和 (N) 
a ro0t 


已 造 笃 1 个 存储 设备 (S) 全 部 重 设 (R) 
图 2.20 分 区 方案 
在 分 区 方案 的 右 侧 , 还 可 以 对 分 区 进行 一 些 调整 ,此 处 最 主要 的 调整 是 调整 文件 系统 类 型 。 
在 本 例 中 保持 默认 ， 单 击 左 上 角 的 “完成 ”按钮 ， 将 提示 是 否 需 要 将 分 区 方案 保存 到 硬盘 ， 单 
击 “ 接 受 更 改 ” 按 钮 即 可 保存 并 返回 安装 信息 摘要 界面 ， 如 图 2.21 所 示 。 
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更 改 摘要 


信 的 自 定义 更 改 得 产生 以 下 变更 ， 这 些 变更 得 会 在 你 返回 到 主 菜单 并 开始 安装 时 生效 : 
现 序 操作 ”类 型 设备 名 称 。 挂 载 点 

1 销 要 格式 Unknown sda 
2 ”创建 格式 分 区 胡 (MSDOS) sda 
3 创 娃 设备 partition sdal 
4 创建 设备 partition sda2 
5 ”创建 格式 physical volume (LVM) sda2 
6 。 创建 设备 mvg 
7 

8 

9 

1 

1 


创建 设备 mkv 
创建 格式 xfs 
创建 设备 mlv 

0 创建 格式 swap 

1 创建 格式 xfs 


取消 并 返回 到 自 定义 分 区 (OQ) 接受 更 改 (A) 


图 2.21 接受 更 改 


09 完成 分 区 方案 设置 之 后 , 接 下 来 需要 设置 网 络 和 主机 名 , 单 击 “ 网 络 和 主机 名 ” 
将 弹出 设置 窗口 ， 如 图 2.22 所 示 。 


网 络 和 主机 名 (-N) 


万 ] 以 太 网 (ens33) 
A 已 果 开 过 搂 
硬件 地 址 00.0c29.8C1E52 
建 朗 1000 Mbys 
子 网 次 码 127001 
Bl - 配 茵 (9) 


主机 名 (H) :localhost localdoman 应 用 (A) 当前 主机 名 :lacahoct 


图 2.22 网 络 和 主机 名 设置 

从 界面 左 侧 可 以 看 到 ,安装 程序 发 现 了 一 张 命名 为 ens33 的 网 卡 ， 并且 网 卡 默 认 处 于 关闭 
状态 。 在 界面 左下 侧 安装 程序 已 经 设置 了 一 个 主机 名 ， 用 户 可 以 在 此 处 输入 新 的 主机 名 。 

拖 动 界面 右 侧 的 滑 块 将 网 卡 启 用 ， 如 果 使 用 的 网 络 还 需要 设置 IP 地 址 等 信息 ， 可 以 单 击 
“配置 ”按钮 ， 在 弹出 的 窗口 中 选中 “IPv4 设置 ”选项 ， 如 图 2.23 所 示 。 

可 以 看 到 系统 默认 使 用 DHCP 的 方式 来 获得 IP 地 址 等 信息 , 如 需 设置 IP 地 址 , 可 以 在 “ 方 
法 ”下 拉 列 表 框 中 选择 “手动 ”选项 ， 然 后 在 地 址 中 添加 相应 的 卫 地 址 、 子 网 掩 码 和 网 关 。 
DNS 服务 器 地 址 应 该 填写 在 “附加 DNS 服务 器 ”选项 中 ， 若 有 多 个 DNS 地 址 则 使 用 逗号 分 
隔 。 如 果 虚 拟 机 的 网 络 设置 为 Host-Only 和 NAT， 此 处 应 该 设置 为 通过 DHCP 方式 获得 IP 地 
址 等 信息 。 
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正在 编辑 ens33 


连接 名 称 (N): | ens33 
常规 以 志 网 802.1X 安全 性 DCB Proxy “IPv4 设 置 IPv6 设置 


方法 (M): ”自动 DHCP) ~ 


Additional static addresses 


地 址 子 网 捷 码 网 关 Add 
副 除 (D) 

附加 DNS 服务 器 : 

附加 搜索 域 (E): 

DHCP 客户 端 ID: 


[需要 Ipv4 地 址 完成 这 个 连接 
路 由 (R)… 
Cancel 保存 (S) 
图 2.23 网 卡 设置 
完成 上 述 设置 后 ， 单 击 “ 保 存 ” 按 钮 返回 网 络 和 主机 名 设置 界面 ， 再 单 击 左上 角 的 “ 完 
成 ”按钮 返回 安装 信息 摘要 界面 。 
Ci0 完成 前 面 几 步 的 设置 之 后 ,再 次 确认 每 一 项 设置 是 否 合适 ,特别 是 磁盘 分 区 ， 因 
为 到 此 时 为 止 安装 程序 还 没有 修改 磁盘 中 的 数据 ,确认 没有 问题 之 后 , 单 击 右 下 角 的 “开始 安 
装 ”， 安 装 程序 会 使 用 之 前 的 设置 开始 系统 的 安装 工作 ， 如 图 2.24 所 示 。 


配置 CENTO5 7 安装 
国 m 


用 户 设置 


= RooT 密 码 套 。。 创 理 用 户 (U) 
CA noorBmiien A 7 


总 忆 直 软件 包 安装 进入 


图 2.24 开始 安装 


从 图 2.24 中 可 以 看 到 安装 程序 已 经 开始 安装 工作 ， 但 还 需要 对 用 户 进行 设置 。 其 中 ， 
“ROOT 密码 ”选项 将 设置 root 用 户 的 密码 。root 用 户 通常 也 称 为 根 用户 , 在 Linux 系统 中 拥 
有 人 至 高 无 上 的 权限 (相当 于 Windows 系统 中 的 Administrator 用 户 )， 因 此 在 生产 环境 中 应 当 设 
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置 一 个 强度 较 高 的 密码 。 

root 用 户 的 权限 很 大 , 若 用 户 登录 并 使 用 根 用 户 误 操作 可 能 会 带 来 一 些 不 必要 的 麻烦 , 例 
如 输 错 一 个 字母 删除 系统 中 重要 的 数据 等 , 因此 系统 强制 要 求 创建 一 个 普通 用 户 , 并 使 用 普通 
用 户 登 录 系 统 ， 必 要 时 向 root 用 户 “ 申 请 ”权利 。 

单 击 “创建 用 户 ” 选 项 即 可 弹出 创建 用 户 窗口 ， 填 入 全 名 、 用 户 名 、 密 码 之 后 ， 单 击 左 上 
角 的 “完成 ”按钮 即 可 返回 安装 界面 。 


在 生产 环境 中 设置 密码 ， 通 常 需要 注意 两 点 。 其 一 是 密码 必须 要 有 一 定 的 长 度 ， 通 常 建议 
码 要 包含 构成 密码 的 4 种 字符 (大 写字 母 、 小 写字 母 、 数 字 和 字符 ) 中 的 3 种 。 


| 设置 为 8~16 位 。 其 二 是 密码 要 具备 一 定 的 复杂 性 ， 通 常用 “四 分 之 三 原则 ”来 衡量 ， 即 密 


C1 设置 完 密码 之 后 ， 等 待 安装 程序 安装 完成 ( 视 计算 机 配置 不 同 ， 此 步 可 能 需要 
20~40 分 钟 )， 安 装 结束 时 如 图 2.25 所 示 。 


CENTO5 7 安装 
国 o 


ROoT 府 码 创建 用 户 [ 


centos 已 夺 功 安 区 到 您 的 计策 机 并 可 以 合用 | 重庆 然 后 使 用 吧 | 
La) 


图 2.25 ”安装 完成 


此 时 只 需要 单 击 “ 重 启 ” 按 钮 ， 系 统 就 会 将 最 后 的 修改 写 入 硬盘 并 重新 启动 系统 ， 至 此 
CentOS 7.5 就 已 经 安装 完成 了 。 


jm) 
Mh 


引 | 


2.2.3 用 U 盘 安 装 CentOS 7.5 


由 于 光盘 使 用 不 是 非常 方便 ， 目 前 在 计算 机 中 安装 操作 系统 多 使 用 U 盘 ，CentOS 7.5 也 
可 以 使 用 U 盘 安 装 。 本 小 节 将 简单 介绍 如 何 使 用 U 盘 安 装 CentOS 7.5。 

首先 需要 下 载 一 个 名 为 USB Writer 的 软件 , 将 U 盘 插 入 计算 机 的 USB 接口 ， 确 保 系统 能 
正常 识别 U 盘 ， 且 TU 盘 足 够 大 (建议 容量 8GB)。 然 后 打开 USBWriter， 如 图 2.26 所 示 。 


| 
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日 USBWwriter Lz 
i i 
Target device 
[ 了 [Cnefesh | 
[a 
| 
2.26 USBWriter 软件 
单 击 Source file 后 面 的 “Browse” 按 钮 ， 在 弹出 的 对 话 框 中 选择 CentOS 7.5 的 光盘 映像 
文件 ， 然 后 在 Target device 后 面 选择 要 使 用 的 U 盘 。 由 于 写 入 光盘 映像 会 清空 U 盘 中 的 所 有 


数据 ， 此 步骤 请 慎重 。 确 定 使 用 的 U 盘 中 没有 任何 有 用 数据 之 后 ， 单 击 “Write” 按 钮 开始 写 
入 映像 文件 。 

待 USBWriter 写 入 完成 ， 将 U 盘 插 入 需要 安装 CentOS 7.5 的 计算 机 上 ， 然 后 使 用 U 盘 启 
动 安装 。 之 后 的 安装 步骤 与 2.2.1 小 节 中 介绍 的 相同 ， 此 处 不 再 袭 述 。 


民 寺 并 不 是 所 有 的 U 盘 都 可 以 写 入 光盘 映像 ， 某 些 U 盘 在 制作 启动 盘 时 可 能 会 失败 。 


2.2.4 Windows 7 + CentOS 7.5 双 系 统 安装 


由 于 虚拟 机 安装 CentOS 7.5 时 会 占用 大 量 内 存 ， 对 计算 机 要 求 相对 较 高 ， 低 配置 的 计算 
机 运行 可 能 会 不 太 流畅 ， 因 此 许多 人 将 Windows 和 CentOS 都 安装 到 同一 台 计算 机 中 。 本 小 节 
将 以 Windows 7 为 例 介绍 如 何在 一 台 计 算 上 同时 安装 Windows 和 Linux， 此 处 介绍 的 方法 也 
适合 其 他 版 本 的 Windows 和 Linux 。 


人 EXOi 安装 双 系 统 应 该 先 安 装 
Windows， 因 为 Windows 的 引导 装载 
程序 无 法 引导 Linux 系统 , 但 Linux 系 
统 的 引导 程序 Grub 则 可 以 引导 
Windows。 因此 应 该 先 安装 Windows， 
再 安装 Linux， 在 Linux 的 引导 程序 中 
添加 Windows 引导 选项 。 


如 果 计 算 机 中 还 没有 安装 Windows 
7， 即 硬盘 中 还 没有 分 区 ， 在 Windows 7 
安装 时 需要 为 CentOS 7.5 预 留 足 够 的 空 
间 。 这 些 空间 可 以 不 用 分 区 ， 以 空闲 空 
间 的 形式 存在 即 可 ， 如 图 2.27 所 示 。 2.27 安装 Windows 7 时 预 留 空间 


您 起 将 由 ndows 安装 在 条 处 ? 


tian rEO 
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从 图 2.27 中 可 以 看 到 磁盘 0 的 容量 约 为 80GB。 其 中 , 分 区 1 是 由 Windows 7 安装 程序 自 
动 分 配 的 系统 保留 空间 ; 容量 为 48.7GB 的 分 区 2 作为 Windows 7 的 系统 分 区 ， 即 C 盘 ; 分 区 
3 是 分 配给 Windows 7 使 用 的 第 二 个 分 区 ， 大 小 为 19.5GB; 最 后 还 有 一 个 未 分 配 空间 ， 容 量 
为 11.6GB， 这 个 未 分 配 空间 就 是 留 给 CentOS 7.5 的 空间 。 

安装 Windows 7 时 ， 也 可 以 只 添加 系统 盘 ， 待 系统 安装 完成 后 ， 再 使 用 磁盘 管理 器 进行 
分 区 并 预 留 空间 。 由 于 需要 将 Windows 7 安装 在 分 区 2 中 ， 因 此 只 需 选 中 分 区 2 并 单 击 “ 下 
一 步 ” 按 钮 继续 安装 即 可 。 


| 由 于 本 书 的 重点 并 非 Windows 的 安装 ， 故 此 处 略 过 Windows 安装 一 节 ，Windows 7 和 其 
| 他 版 本 Windows 的 安装 方法 ， 读 者 可 自行 阅读 相关 文档 或 搜索 相关 视频 了 解 。 


人 2 若 计算 机 中 已 安装 了 Windows 7 且 磁盘 中 已 没有 未 分 配 的 空闲 空间 则 可 使 用 魔 
术 分 区 大 师 等 软件 重新 调整 分 区 , 将 分 区 中 的 未 使 用 空间 调整 为 未 分 配 空间 。 如 果 磁 盘 中 还 有 
未 使 用 的 空间 ， 则 可 在 桌面 上 的 “计算 机 ”图 标 上 右 击 ， 在 弹出 的 菜单 中 选择 “管理 ”命令 ， 
然后 在 弹出 的 计算 机 管理 界面 左 侧 依 次 选择 “存储 ”和 “磁盘 管理 ”， 如 图 2.28 所 示 。 


DA) VY) M0) 
名 中 | 者 国 日 园 日 站 忆 


EEIESIES 各 作 本 | 

ms 二 NTF5 tsao Em FE 2 
i 更 下 
全 并 下 二 NTFS 。 并 全 号 因 


© Mn DO) 
100》 |4873G8 NTFS ||2051 G8 NTEE 1066G8 
0] 


图 2.28 计算 机 管理 


如 果 系 统 中 还 有 多 余 没 有 分 配 的 空闲 空间 ， 此 时 可 以 在 未 分 配 空间 上 右 击 ， 添 加 分 区 。 
最 后 剩余 一 部 分 空间 作为 CentOS 7.5 的 预 留 空间 。 如 图 2.28 所 示 ， 已 经 为 CentOS 7.5 预 留 了 
一 个 10.66GB 的 未 分 配 空间 。 


D03 完成 上 述 步 骤 后 ， 重 新 启动 系统 ,修改 BIOS 设置 并 使 用 安装 光盘 或 U 盘 启 动 系 
统 ， 然 后 安装 CentOS 7.5， 安 装 过 程 与 2.2.1 小 节 中 介绍 的 相同 ， 此 处 不 再 珊 述 。 安 装 完成 后 
登录 系统 ， 在 桌面 上 右 击 ， 选 择 “在 终端 中 打开 ”命令 ， 此 时 将 弹出 终端 窗口 。 接 下 来 将 修改 
CentOS 7.5 引导 装载 程序 的 配置 文件 ， 并 添加 Windows 7 的 引导 选项 。 


在 终端 窗口 中 输入 命令 “su - root”， 然 后 输入 root 用 户 密码 ， 切 换 到 root 用 户 。 需 要 注 
意 的 是 , 输入 密码 时 终端 内 不 会 有 任何 显示 , 输入 完成 后 按 Enter 键 即 可 。 切换 成 root 用 户 后 ， 


23 


CentOS 7.5 系统 管理 与 运 维 实战 


命令 提示 符 将 变 为 “[root@localhost ~] #”， 输 入 命令 “gedit /bootgrub2/grub.cfg” 按 Enter 键 ， 
此 命令 表示 使 用 gedit 编辑 器 打开 Grub 的 配置 文件 /bootgrub2/grub.cfg。 待 gedit 打开 后 , 依次 
单 击 菜单 中 的 “搜索 ”和 “ 跳 转 到 行 ”， 在 弹出 的 对 话 框 中 输入 “70” 此 时 光标 将 跳 转 到 第 


70 行 。 


如 图 2.29 所 示 ， 在 原 有 的 菜单 条 目 “menuentry” 之 后 加 上 Windows 7 的 引导 选项 。 引 导 


项 中 “Windows 7” 表 示 启 动 时 Grub 显示 的 菜 


单 名 称 ,“set root=(hd0,1)” 表 示 Windows 引导 


的 设备 为 第 0 块 磁盘 的 第 1 个 分 区 〈 此 处 需要 按 实 际 情况 设置 )， 而 其 后 的 “chainloader +1” 


表示 加 载 Windows 的 引导 程序 。 


打开 (o) ~ 吕 和 保存 (S) 
} 
terminal output console 
if [ x$feature timeout style = xy ] ; then 


set timeout style=menu 
set timeout=5 
# Fallback normal timeout code in case the timeout style 和 
# unavailable. 
else 
set timeout=5 
i 


MM# END _/e d/99_header #4# 
enuentry Dr 本 
set root=(hd9,1) 


chainloader +]| 


#3# BEGIN /etc/grub. d/96 tuned ## 
set tuned params="" 

set tuned initrd= 

I### END eto/orub dy88 tuned #4# 


i### BEGIN /etc/grub.d/01 users oe 
if 1 »f ¢inrofixy/ucsoer cfn 1 tha 


图 2.29 使 用 gedit 编辑 grub.cfg 


钝 文本 ” ~ 制 表 符 宽度 : 8 > 行 72， 


eature is 


列 23 


x 


插入 


完成 以 上 操作 后 ， 保 存 退 出 并 重启 系统 ， 待 系统 重启 后 可 以 发 现 CentOS 7.5 的 引导 菜单 


中 多 了 Windows 7 的 引导 选项 ， 如 图 2.30 所 示 。 


图 2.30 ”CentOS 7.5 引导 菜单 


从 图 2.30 中 可 以 看 出 ， 引 导 菜 单 中 已 有 Windows 7 选 
中 该 选项 并 按 Enter 键 即 可 引导 进入 Windows 7。 


2.2.5 网络 安装 


， 此 时 只 需 


要 使 用 向 上 方向 键 选 


网 络 安装 分 为 两 种 模式 : 一 种 是 使 用 NetInstall 版 (网 络 安装 版 )， 使 用 这 个 版 本 安装 需要 
通过 网 络 下 载 安装 所 需 的 软件 包 ; 另 一 种 是 使 用 PXE 网 络 启动 的 方式 安装 ， 这 种 方式 适用 于 
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大 规模 自动 化 安装 , 例如 一 次 性 安装 100 台 计 算 机 ， 并 且 这 些 计算 机 的 分 区 方案 都 相同 。 由 于 
PXE 网 络 启动 安装 方式 比较 复杂 且 实 用 性 不 太 多 ， 故 此 处 不 做 介绍 ， 读 者 可 自行 阅读 相关 文 
档 了 解 。 本 小 节 将 介绍 如 何 使 用 网 络 安装 版 的 使 用 方法 。 

网 络 安装 通常 适用 于 不 能 使 用 DVD 和 TU 盘 的 环境 , 读者 仍 可 以 使 用 虚拟 机 模拟 安装 。 首 
先 需要 下 载 NetInstall 版 的 光盘 映像 文件 ， 接 下 来 需要 让 虚拟 机 能 正常 访问 网 络 ， 这 时 网 络 连 
接 方式 一 般 选择 桥接 或 NAT， 视 宿主 机 网 络 环境 而 定 。 接 下 来 使 用 NetInstall 版 光盘 映像 启动 
虚拟 机 ， 之 后 的 操作 与 2.2.1 小 节 中 介绍 的 相同 ， 直 到 进入 安装 信息 摘要 界面 。 

在 NetInstall 版 的 安装 信息 摘要 界面 中 ， 会 要 求 用 户 设置 安装 源 。 首 先 需要 设置 网 络 ， 可 
以 单 击 “网 络 和 主机 名 ”进行 设置 ， 请 参考 2.2.1 小 节 中 的 介绍 ， 此 处 不 再 著述 。 完 成 网 络 设 
置 后 ， 单 击 “安装 源 ”进行 设置 ， 如 图 2.31 所 示 。 


您 机 全 用 哪 人 安装 源 了 
在 网 络 上 (0) : 


hupll mrrorsaiyunconcentos/7/os/x36-54/ 代理 设置 (P 


口语 URL 痪 向 一 个 铺 你 列表 (MI - 
疝 外 次 件 仓库 
局 用 名 称 名 权 (N) 


图 2.31 安装 源 设置 
在 安装 源 文本 框 中 输入 地 址 即 可 ， 此 处 使 用 的 是 网 易 的 安装 源 ， 读 者 也 可 以 从 CentOS 官 
网 上 查询 并 使 用 其 他 安装 源 。 设 置 完 安装 源 之 后 ， 其 他 设置 和 安装 方法 与 2.2.1 小 节 中 介绍 的 
相同 ， 此 处 不 再 歼 述 。 


总 也 可 以 通过 解压 DVD 安装 光盘 映像 的 方式 自 建安 装 源 ， 但 由 于 光盘 文件 名 长 度 限 制 ， 光 
[ 盘 中 解压 出 的 目录 repodata 和 Packages 中 有 许多 文件 名 有 误 ， 需 要 修正 才能 使 用 。 


Linux 的 登录 


CentOS 安装 完 之 后 ， 需 要 第 一 次 配置 并 登录 使 用 。Linux 系统 的 登录 方式 有 多 种 ， 本 节 
主要 介绍 Linux 的 常见 登录 方式 ， 如 本 地 登录 或 通过 相关 软件 远程 连接 等 。 
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2.3.1 首次 配置 与 本 地 登录 


在 前 面 的 章节 中 ， 主 要 介绍 了 如 何 使 用 不 同 的 方法 安装 CentOS 7.5， 本 小 节 将 简要 介绍 
CentOS 7.5 的 首次 配置 和 本 地 登录 等 内 容 。 


Fo01 CentOS 7.5 安装 完成 后 重启 即 可 使 用 ,首次 进入 时 还 需要 做 一 些 简单 的 配置 ， 如 
图 2.32 所 示 。 


图 2.32 初始 设置 
首次 进入 系统 会 要 求 用 户 确认 许可 信息 ， 单 击 “ 许 可 信息 ”图 标 ， 接 受 CentOS 的 许可 证 
进入 下 一 步 设置 。 接 下 来 会 要 求 用 户 确 认 是 否 启用 Kdump， 如 图 2.33 所 示 。 


Kdump 


图 2.33 设置 Kdump 


Kdump 主要 用 来 调试 系统 内 核 和 相关 软件 ， 对 用 户 和 生产 环境 几乎 没有 任何 帮助 ， 启 用 
与 否 均 无 太 大 影响 。 设 置 完 Kdump 单 击 “ 前 进 ” 按 钮 ， 即 可 完成 设置 ， 进 入 登录 界面 ， 如 图 
2.34 所 示 。 
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图 2.34 登录 窗口 
在 登录 界面 的 右上 角 可 以 做 一 些 辅助 设置 ,例如 语言 设置 、 声 音 和 开关 机 等 。 此 时 单 击 屏 
幕 中 间 的 用 户 名 后 在 弹出 的 窗口 中 输入 密码 ， 然 后 单 击 “ 登 录 ” 按 钮 ， 如 果 用 户 名 、 密 码 校 验 
通过 则 可 顺利 登录 Linux 系统 。 
本 02 首次 进入 桌面 环境 ，CentOS 会 弹出 窗口 要 求 用 户 进行 一 些 使 用 习惯 上 的 配置 ， 
如 图 2.35 所 示 


eursch IDeutschtand) 


English (United Kingdom) 


or 前 进 (N) 
图 2.35 首次 设置 
从 图 2.35 中 可 以 看 到 ， 系 统 会 首先 要 求 用 户 设置 系统 默认 语言 ， 接 下 来 还 会 提示 用 户 设 
置 输入 源 〈 输 入 法 )、 云 账号 等 内 容 ， 这 些 内 容 可 按 实 际 情 况 设置 ， 此 处 不 做 歼 述 。 
人 3 若 想 切换 到 命令 模式 ， 可 进入 系统 后 在 桌面 上 右 击 ， 选 择 “在 终端 中 打开 ” 命 
令 ， 然 后 在 其 中 输入 “init3”， 即 可 完成 运行 级 别 的 转变 。Linux 运行 级 别 如 表 2.1 所 示 。 
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表 2.1 Linux 运行 级 别 


说 明 
停机 


单 用 户 模式 
2 多 用 户 
3 完全 多 用 户 模式 ， 服 务 器 一 般 运 行 在 此 级 别 
4 一 般 不 用 ， 在 一 些 特殊 情况 下 使 用 
5 
6 


X11 模式 ， 一 般 发 行 版 默认 的 运行 级 别 ， 可 以 启动 图 形 桌 面 系统 
重新 启动 


2.3.2 ”远程 登录 和 Xshell 工具 的 使 用 


在 虚拟 机 中 直接 登录 ， 需 要 不 停 地 切换 虚拟 机 和 操作 系统 ， 使 用 很 不 方便 。 如 果 有 多 台 
机 器 需要 进行 管理 的 时 候 ， 也 比较 麻烦 。 远 程 登录 是 Linux 系统 中 最 常见 的 一 种 登录 方式 ， 多 
为 运 维 工 程 师 所 用 ， 远 程 登录 可 以 使 用 VNC 图 形 界面 、SSH 等 方法 。 其 中 以 使 用 SSH 登录 
为 多 ， 其 原因 是 运 维 工程 师 管 理 和 维护 的 系统 通常 没有 图 形 界面 (这 样 系统 占用 资源 比较 小 )， 
且 SSH 使 用 的 加 密 方案 比较 安全 。 本 小 节 以 SSH 登录 为 例 简要 介绍 如 何 远 程 登录 。 


人 ET 如 果 需 要 在 虚拟 机 中 使 用 远程 登录 ， 首 先 网 络 必须 互通 ， 如 果 虚 拟 机 已 使 用 了 
Host-Only 模式 ( 仅 主机 模式 ) 或 桥接 模式 ， 则 可 以 直接 在 宿主 机 登录 。 


本 例 中 将 采用 仅 主 机 模式 演示 登录 过 程 ， 首 先 我 们 需要 查看 Host-Only 模式 使 用 的 IP 地 
址 段 。 以 Windows 7 为 例 , 在 开始 菜单 中 单 击 “ 控 制 面板 ”, 然后 在 控制 面板 中 找到 并 单 击 “网 
络 和 Internet” 下 面 的 “查看 网 络 状态 和 任务 ”。 此 时 将 进入 “网 络 和 共享 中 心 ” 在 其 界面 的 
左 侧 单 击 “ 更 改 适 配器 设置 ” 此 时 将 进入 “网 络 连 接 ” 界 面 。 找 到 “VMware Network Adapter 
VMnet8” 并 右 击 ， 在 弹出 的 菜单 中 选择 “状态 ”， 然 后 在 状态 对 话 框 中 单 击 “ 详 细 信息 ”按钮 ， 
出 现 如 图 2.36 所 示 的 界面 。 


网关 连 溢 评 从 信 息 Lz9 

网络 连接 详 荔 信息 0) 和 

属性 什 

连接 村 定 的 DIE 后 鳞 “localdoasin 

据 玉 Wesre Yirtaal Ethernet Meptd 

00-S0-s8-C0-00-08 

| | BBR pee 是 

J 地 址 192. 168.228.1 

vt 子 网 入 码 255 255 255.0 
| | se 2018 年 9 月 ?日 9:29:4 

租约 过 % 肥 38j 间 2018 年 9 月 2 日 13:59:45 

了 Pv4 上 让 关 

IPw DMCP 服务 器 192 168 228 254 

IP Ds 服务 器 192 168 228 2 

IP TIS 服务 器 192 168.228.2 

已 让 用 NetBIDS ove 是 

连接 -本 地 IPv6 地 址 fe80: .09b .6599.656d.BhTex3 

I?ve 点 认同 关 

IPw6_ DNS 服务 器 
| EE 


2.36 网 络 连接 的 详细 信息 
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如 图 2.36 所 示 查 看 其 IP 地 址 ， 只 有 虚拟 机 Host-Only 网 卡 的 IP 地 址 与 此 IP 地 址 在 同一 
网 段 方 可 进行 远程 登录 。 
人 62 在 虚拟 机 中 查看 IP 地 址 可 以 使 用 “ifeonfig” 命 令 ， 如 图 2.37 所 示 。 


root@localhost:~ 


文件 (F) 编辑 (FE) 查看 [V) 搜索 (5) 终端 (T) 帮助 [H) 
rootBtocaethost “|# ifconfig 
ag AD 


AST, RUNNING, MULTICAST> mtu 1500 
2 


cee2:890 prefixlen 64 scopeid 0x20<link> 
2 txqueuelen 1000 (Ethernet) 

RX packets Ey Sytes 32176 (31.4 KiB) 

RX errors D dropped D overruns 0 frane 0 

TX packets 179 bytes 17872 (17.4 KiB) 

TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0 


237 查看 卫 地 址 


可 以 看 到 网 卡 ens33 的 IP 地 址 与 Windows 中 的 卫 地 址 属于 同一 网 段 因此 可 以 使 用 远程 
连接 。 如 果 使 用 以 上 命令 没有 查看 到 此 IP 地 址 ， 就 需要 重启 网 络 连接 或 重新 配置 网 络 连接 。 


303 由 于 CentOS 7.5 默认 开启 SSH, 因此 可 直接 通过 Xshell 等 工具 连接 , 如 图 2.38 所 示 。 


ee 


a 

于 本 

mi ] 中 Rh 如 
| 


图 2.38 Xshell 


在 Xshell 中 填 入 CentOS 7.5 的 IP 地址， 并 选择 “SSH” 协 议 下 拉 框 ， 输 入 用 户 名 和 密码 
即 可 远程 登录 到 Linux 系统 中 。 单 击 “ 连 接 ” 按 钮 ， 连 接 到 我 们 建立 好 的 虚拟 机 ， 输 入 先前 设 


管 的 用 户 名 和 密码 ， 如 图 2.39 所 示 。 


192168.228.129:22 
root 
SSH2, openssH_74 


请 在 下 面 选择 怡 当 的 身份 验证 方法 并 提供 登录 所 志 的 信息 " 
© paeewercD 


运程 主机 : 192.168.228.129:22 se 


服务 器 类 型 : 。 SSH2, OpenSSH_7.4 


请 输入 登录 的 用 户 名 (E): 


root 


回 记 住 用 户 名 R) 


图 2.39 输入 用 户 名 和 密码 
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连 上 去 之 后 进入 控制 台 ， 在 这 里 输入 命令 操作 我 们 的 远程 服务 器 ， 如 图 2.40 所 示 。 


Connecting to 192.168.228.129:22... 


Connection established - 
To escape to local shell，press“'Ctrl+hlt+]'- 


Last login: Sun Sep 2 14:41:29 2918 from 192.168.228.1 
[root@localhost ~]# | 


已 连接 192.168.228.129:22.。 SSH2 xterm 63x8 7.21 11 会 活 CAP NUM 


2.40 ”远程 服务 器 


2.3.3 ”退出 登录 


不 管 是 超级 用 户 还 是 普通 用 户 ， 需 要 退出 系统 时 ， 在 shell 提示 符 下 输入 exit 命令 即 可 退 
出 登录 ， 如 图 2.41 所 示 。 


文件 ( 明 ” 编 名 (5) 查看 V) 工具 (T) 窗口 WW) 帮助 (H) 
[r= 的 己 唱 - 认 -全 - 物 - 
| 。1 本 地 服务 器 

Xshell:\> 


Connecting to 192.168.228.129:22... 
Connection established. 
To escape to local shell, press ‘Ctrl*Alt+]". 


Last login: Sun Sep 2 14:42:98 2918 fron 192.168.228.1 
[root@localhost ~]# exit 


已 连接 192.168.228.129:22。 SSH2 xterm 63x8 8,25 1 会 活 CAP NUM 


图 2.41 远程 服务 器 


2.3.4 重启 和 关机 


CentOS 重启 命令 : 

@ reboot 普通 重启 。 

@ shutdown -rnow 立刻 重启 (root 用 户 使 用 ) 。 

@ shutdown -r 10 过 10 分 钟 自动 重 启 (root 用 户 使 用 ) 。 

e@ shutdown -r 20:35 在 时 间 为 20:35 时 重启 (root 用 户 使 用 ) 。 


如 果 是 通过 shutdown 命令 设置 重启 的 话 ， 可 以 用 shutdown -c 命令 取消 重启 。 
CentOS 关机 命令 : 

e@ halt 立刻 关机 。 

e@ poweroff 立刻 关机 。 
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e@ shutdown -hnow 立刻 关机 (root 用 户 使 用 ) 。 
@ _ shutdown -h 10 10 分 钟 后 自动 关机 。 


如 果 是 通过 shutdown 命令 设置 关机 的 话 ， 可 以 用 shutdown -c 命令 取消 关机 。 


2.3.5” 重 置 密码 
CentOS 运 维 过 程 中 可 能 会 遇 到 忘记 密码 的 情况 ， 但 是 只 需要 简单 几 个 步 又 就 可 以 完成 密 
码 的 重 置 工作 。 


(1) 输入 reboot， 重 启 CentOS 系统 。 

(2) 当 出 现 引 导 界 面 时 ， 按 下 键盘 上 的 e 键 进入 内 核 编辑 界面 。 
(3) 在 LANG=\zh_CN.UTF-8 后 面 加 上 \rd.break。 

(4) 按 下 Ctrl+X 组 合 键 来 运行 这 个 修改 后 的 内 核 程序 。 


此 时 系统 会 进入 到 一 个 紧急 求援 模式 ， 如 图 2.42 所 示 。 


insmod part_msdos 
insmod xf 
et root="hdg,msdos1 
if [ x$feature_platfor ch_hint xy ]; then 
e no-flopp uuid et=root --hint-bios=hdg,msdos1 --hin 
t-efi=hd8, m: hint-bar al=ahcig, msdos1 —-hint="hd8,msdos1’ 2b44ad5e-8 
lad-4a8b-: 145f7 


earch --no-floppy --fs-uuid et=root 2b44ad5e-81ad-4a8b-9ae5-5257 


574745f7 

fi 

linux16 /vmlinuz-3.18.8 el17.x86_64 root=/dev/mapper/centos-root ro 
crashkernel=auto rd. lum. lv=centos/root rd.1vM.1lv=centos/swap rhgb quiet LANG 
zh_CN.UTF-8 \rd.break 

initrdi6 7inTtraMfs=3~44.8-862.e17.x86_64. img 


Press Ctrl-x to start, Ctrl-c for a Command prompt or Escape to 
discard edit and return to the menu Pressing Tab list 
possible completions 


我 们 逐步 输入 以 下 命令 。 
(1) 挂 载 系统 目录 : 
mount -~o remount,rw /sysroot 
(2) chroot 改变 指定 目录 。 系 统 默 认 的 目录 结构 都 是 以 “/” 一 一 根 (root) 开始 的 。 在 使 
用 chroot 之 后 ， 系 统 的 目录 结构 将 以 指定 的 位 置 作为 /位 置 。 
chroot /sysroot 
(3) 修改 密码 。 使 用 passwd 修改 密码 ， 需 要 输入 两 次 一 样 的 密码 。 
(4) 输入 命令 touch /.autorelabel， 在 /目录 下 创建 一 个 .autorelabel 文件 ， 有 这 个 文件 存在 ， 
系统 在 重启 时 就 会 对 整个 文件 系统 进行 relabeling。 
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(5) 退出 系统 : 输入 exit 命令 。 
(6) 重启 系统 : 输入 reboot 命令 。 
以 上 命令 效果 如 图 2.43 所 示 。 


switch_root:/# mount -0 remount,ru /sysroot 
:/# chroot /st 
d 
word for user root 


Retype new passuord: 
all authentication tokens updated successfully 
/.autorelabel 


tch_root:/# reboot 


图 2.43 ”逐个 命令 完成 后 重启 


本 元 | 常用 命令 和 常用 基础 工具 安装 参考 本 书 附录 。 


小 白 安装 过 程 中 的 问题 


本 节 主 要 介绍 初学 者 在 安装 Linux 过 程 中 的 一 些 常见 问题 ， 如 Windows 系统 是 否 能 够 和 
Linux 系统 并 存 、 如 何 安装 多 个 Linux 发 行 版 等 。 


2.4.1 Linux 分 区 会 覆盖 原 有 Windows 系统 吗 


在 已 安装 Window 系统 的 计算 机 中 安装 Linux 和 Windows 双 系 统 引 导 ， 安 装 完 Windows 
后 ， 需 要 在 硬盘 上 预 留 一 定 的 空间 安装 Linux， 安 装 过 程 中 Linux 的 安装 程序 会 检测 已 有 的 
Windows 分 区 ， 安 装 后 的 Linux 和 Windows 分 别 使 用 了 硬盘 中 的 不 同 分 区 ， 安 装 的 Linux 系 
统 并 不 会 覆盖 已 安装 的 Windows 系统 。 


2.4.2 ”如 何 安装 多 个 Linux 发 行 版 


(1) 采用 虚拟 机 安装 的 方式 可 以 安装 多 个 Linux 系统 。 可 以 创建 多 个 虚拟 机 ， 虚 拟 机 创 
建 完毕 后 采用 2.2.2 节 介 绍 的 安装 方法 安装 Linux 系统 。 

(2) 在 同一 PC 上 安装 多 个 Linux 操作 系统 ， 首 先 要 为 安装 的 每 个 Linux 系统 预 留 硬盘 
空间 ， 并 且 在 每 个 Linux 的 安装 过 程 中 采用 手动 分 区 模式 做 好 分 区 设置 。 如 图 2.44 所 示 ， 单 
击 “ 创 建 自 定义 布局 ” 然后 依次 创建 Linux 所 需 的 根 分 区 和 Swap 分 区 ， 如 有 需要 ， 可 以 创 
建 其 他 挂 载 点 , 分 区 设置 如 图 2.45 所 示 ， 图 中 剩余 的 空间 可 以 预 留 给 其 他 要 安装 的 操作 系统 ， 
分 区 创建 完毕 即 可 进行 Linux 的 安装 。 
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您 要 进行 哪 种 类 型 的 安装 ? 


”使 用 所 有 空间 
® 二 。 觅 除 疡 选 设备 中 的 所 有 分 区 。 其 中 包含 其 它 操 作 采 六 创建 的 分 区 - 


提示 : 这 个 丢 项 相 响 除 所 丢 设备 中 的 所 有 数据 -确定 他 进行 了 备份- 


蔡 换 现 有 Linux 系统 


只 出 除 Linux 分 区 (由 之 前 的 Unux 安装 创建 的 ) 。 这 样 儿 不 会 出 际 亿 存 刍 设 备 中 的 其 它 分 区 (比如 VFAT 或 者 


提示 ; 这 个 选项 机 除 们 所 造 设备 中 的 所 有 数 轿 ， 请 定 们 进行 了 备 价 ， 


缩小 现 有 系统 
策 小 现 有 分 区 以 便 为 球 认 布局 生成 机 余 字 间 - 


使 用 制 余 空间 
保 统 妇 的 所有 数据 和 分 区 且 只 使 用 所 远 设 备 中 的 未 分 区 字 间 ， 熏 设 多 有 足够 的 空间 可 用 。 


创建 自 定义 布局 
便 用 分 区 工具 手动 在 所 选 设备 中 创建 和 定义 布局 。 


口 加 刻 系 统 (E) | 


网 查看 并 修改 分 区 布局 (Y) 


2.44 Linux 分 区 选择 方式 


大 小 挂 载 点 / 
(MB) RAID/ 着 


ext4 Vv 
swap Vv 


2.45 Linux 分 区 参考 值 


2.4.3 如何 删 除 双 系统 中 的 Linux 


类 型 格式 


四 下 - 步 (N) 


如 果 系 统 中 只 安装 有 Linux， 可 以 采用 分 区 管理 工具 (如 PartitionMagic) 把 Linux 的 分 区 
全 部 删除 。 也 可 以 利用 Windows 的 引导 光盘 进入 纯 DOS 或 Win PE 模式 ， 然 后 进入 命令 提示 


窗口 ， 执 行 “fdisk /mbr” 清 除 分 区 信息 。 


如 果 在 计算 机 中 Windows 和 Linux 并 存 可 直接 进入 Windows 系统 操作 ,删除 步 又 如 下 : 
GJ01 在 桌面 上 右 击 【 我 的 电脑 ] 图 标 ， 在 弹出 的 菜单 中 选择 “管理 ”命令 , 进入 计算 


机 管理 界面 。 


CT02 单 二 【 磁盘 管理 ] 菜单 ， 如 图 2.46 所 示 ， 如 有 Linux 分 区 ， 选 择 分 区 后 删除 即 


可 5 
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图 2.46 Windows 磁盘 管理 


如 果 是 使 用 虚拟 机 安装 的 Linux， 删 除 步骤 如 下 : 


CI01 启动 VMware， 单 击 安装 的 虚拟 机 。 
02 单 去 菜单 【VM ] 一 【Manager ] 一 【 Delete from Disk 】 进行 虚 拟 机 的 删除 ， 如 
图 2.47 所 示 。 


图 2.47 使 用 VM 菜单 
以 上 两 步 完 成 后 虚拟 机 中 安装 的 Linux 即 删除 完毕 。 


2.4.4 主机 连 不 上 虚拟 机 安装 的 Linux 系统 


使 用 虚拟 机 安装 完 Linux 系统 后 ， 如 果 采 用 SecureCRT 不 能 登录 安装 的 Linux， 可 以 从 以 
下 几 方 面 排查 。 


(1) 检查 安装 的 Linux 服务 器 sshd 服务 是 否 启动 ， 如 下 所 示 : 
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(2) 选择 合适 的 虚拟 机 网 络 连接 方式 


经 过 上 面 代码 中 的 3 步 ， 确 认 服务 器 sshd 服务 正常 、 服 务 器 防火 墙 没有 开启 ， 如 果 还 是 
不 能 连接 ， 可 检查 虚拟 机 网 络 配置 ， 单 击 桌 面 上 的 虚拟 机 图 标 ， 单 击 【VM】 一 【Setting】 菜 
单 ， 结 果 如 图 2.48 所 示 。 


图 2.48 虚拟 机 网 络 配置 


虚拟 机 与 宿主 主机 通信 有 3 种 方式 ， 分 别 为 : 


。 Bridged 模式 : 在 桥接 模式 下 ，VMware 虚拟 出 来 的 操作 系统 就 类 似 局 域 网 中 的 一 台独 
立 主机 ， 可 以 访问 网 络 内 任何 一 台 机 器 。 选 择 此 种 模式 ， 需 要 手工 为 虚拟 系统 配置 了 
地 址 、 子 网 掩 码 ， 并 且 和 宿主 机 器 处 于 同一 网 段 ， 这 样 虚拟 系统 才能 和 宿主 机 器 进行 
通信 。 此 时 设置 Linux 和 宿主 主机 同 网 段 IP 即 可 。 

NAT 网 络 地 址 转换 模式 : 使 用 NAT 模式 使 虚拟 系统 借助 NAT 功能 ， 通 过 宿主 机 器 所 
在 的 网 络 来 访问 互联 网 。 此 时 Linux 的 IP 地址 和 ViMnet8 虚拟 网 络 处 于 同一 网 段 。 
Host-only 主机 模式 : 在 Host-only 模式 中 ， 所 有 的 虚拟 系统 可 以 相互 通信 ， 但 虚拟 系 
统 和 真实 的 网 络 是 被 隔离 开 的 。 虚拟 系统 的 TCP/IP 配置 信息 (如 IP 地 址 、 网 关 地 址 、 
DNS 服务 器 等 ) 由 VMnetl (Host-only ) 虚拟 网 络 的 DHCP 服务 器 来 动态 分 配 。 


CentOS 7.5 系统 管理 与 运 维 实战 


Linux 的 目录 结构 


Linux 与 Windows 最 大 的 不 同 之 处 在 于 Linux 目录 结构 的 设计 ,在 开始 后 面 的 内 容 前 ,我 
们 先 来 介绍 Linux 典型 的 目录 结构 。 

登录 Windows 以 后 , 打开 C 盘 , 会 发 现 一 些 常见 的 文件 夹 , 而 登录 Linux 以 后 , 执行 ls 二 
/会 发 现在 “/” 下 包含 很 多 目录 ， 比 如 etc、usr、var、bin 等 目录 ， 进 入 其 中 一 个 目录 后 ， 看 到 
的 还 是 很 多 文件 和 目录 。Linux 的 目录 类 似 树 形 结构 ， 如 图 2.49 所 示 。 


图 2.49 Linux 目录 结构 


认识 Linux 的 目录 结构 首先 必须 认识 Linux 目录 结构 的 最 项 端 “/”， 任 何 目录 、 文 件 和 设 
备 等 都 在 “/" 之 下 。Linux 的 文件 路 径 与 Windows 不 同 ,Linux 的 文件 路 径 类 似 “/data/myfile.txt”， 
没有 Windows 中 盘 符 的 概念 。 初 学 者 开始 对 Linux 的 目录 结构 可 能 不 是 很 习惯 ， 可 以 把 “/” 
当 作 Windows 的 盘 符 (如 C 盘 )。 表 2.2 对 Linux 中 主要 的 目录 进行 说 明 。 


表 2.2 Linux 常见 目录 说 明 


根 目 录 。 文 件 的 最 顶端 ，/etc、/bin、/dev、/lib、/sbin 应 该 和 根 目录 放置 在 一 个 分 区 中 ， 而 
类 似 /usr/local 可 以 单独 位 于 另 一 个 分 区 

存放 系统 所 需要 的 重要 命令 ， 比 如 文件 或 目录 操作 的 命令 lIs、cp、mkdir 等 。 另 外 ，/usr/bin 
也 存放 了 一 些 系统 命令 ， 这 些 命令 对 应 的 文件 都 是 可 执行 的 ， 普 通用 户 可 以 使 用 大 部 分 命令 


这 是 存放 Linux 启动 时 内 核 及 引导 系统 程序 所 需要 的 核心 文件 ， 内 核 文件 和 grub 系统 引导 
管理 器 都 位 于 此 目录 


/home 


存放 Linux 系统 下 的 设备 文件 ， 如 光驱 、 磁 盘 等 。 访 问 该 目录 下 某 个 文件 相当 于 访问 某 个 硬 
件 设备 ， 常 用 的 是 挂 载 光 驱 

一 般 存 放 系统 的 配置 文件 ， 作 为 一 些 软件 启动 时 默认 配置 文件 读 取 的 目录 ， 如 /etc/fstab 存放 
系统 分 区 信息 

系统 默认 的 用 户主 目录 。 如 果 添加 用 户 时 不 指定 用 户 的 主 目录 ， 默 认 在 home 下 创建 与 用 户 
名 同名 的 文件 夹 。 代 码 中 可 以 用 HOME 环境 变量 表示 当前 用 户 的 主 目录 


/lib 


64 位 系统 有 /lib64 文件 夹 ， 主 要 存放 动态 链接 库 。 类 似 的 目录 有 /usr/lib、/ust/locallib 等 
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( 续 表 ) 
参数 说 明 
/losttfound | 存放 一 些 当 系 统 意外 骨 溃 或 机 器 意外 关机 时 产生 的 文件 碎片 


用 于 存放 挂 载 储 存 设备 的 挂 载 目录 ， 如 光驱 等 


存放 操作 系统 运行 时 的 运行 信息 ， 如 进程 信息 、 内 核 信息 、 网 络 信息 等 。 此 目录 的 内 容 存在 
于 内 存 中 ， 实 际 不 占用 磁盘 空间 。 如 /etc/cpuinfo 存放 CPU 的 相关 信息 


/root Linux 超级 权限 用 户 root 的 主 目录 

存放 一 些 系统 管理 的 命令 ， 一 般 只 能 由 超级 权限 用 户 root 执行 。 大 多 数 命令 普通 用 户 一 般 
无 权限 执行 ， 类 似 /sbin/ifconfig， 普 通用 户 使 用 绝对 路 径 也 可 执行 ， 用 于 查看 当前 系统 的 网 
络 配置 。 类 似 的 目录 有 /usr/sbin、/usr/local/sbin 


临时 文件 目录 ， 任 何人 都 可 以 访问 。 系 统 软件 或 用 户 运行 程序 (如 MySQL) 时 产生 的 临时 
文件 存放 到 这 里 。 此 目录 数据 需要 定期 清除 。 重 要 数据 不 可 放置 在 此 目录 下 ， 此 目录 空间 不 
宜 过 小 

应 用 程序 存放 目录 ,如 命令 、 帮助 文件 等 . 安装 Linux 软件 包 时 默认 安装 到 /usrlocal 目录 下 。 
比如 /usr/share/fonts 存放 系统 字体 ，/usr/share/man 存放 帮助 文档 ，/ust/include 存放 软件 的 头 
文件 等 。/usr/local 目录 建议 单独 分 区 并 设置 较 大 的 磁盘 空间 

这 个 目录 的 内 容 是 经 常 变动 的 ，/var/log 用 于 存放 系统 日 志 ，/var/lib 存放 系统 库 文件 等 
目录 与 /proc 类 似 ， 是 一 个 虚拟 的 文件 系统 ， 主 要 记录 与 系统 核心 相关 的 信息 ， 如 系统 当前 
已 经 载 入 的 模块 信息 等 。 这 个 目录 实际 不 占 硬盘 容量 


| 各 个 发 行 版 是 由 不 同 的 公司 开发 ， 所 以 各 个 发 行 版 之 间 的 目录 可 能 会 有 所 不 同 。Linux 各 
| 发 行 版 本 之 间 目 录 的 差距 比较 小 ， 不 同 的 地 方 主要 是 提供 的 图 形 界面 及 操作 习惯 等 。 


2 .6 / 造 


与 CentOS 7 之 前 的 版 本 相 比 ,7.X 开始 的 系统 结构 和 安装 过 程 有 较 大 改变 。 本 章 主要 介 
绍 了 与 CentOS 安装 相关 的 知识 ， 如 分 区 、LVM、 虚 拟 机 的 使 用 等 。 还 介绍 了 几 种 常见 的 安装 
方法 ， 如 光盘 安装 、U 盘 安 装 、 远 程 登录 等 内 容 。 
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Linux 系统 在 服务 器 市 场 占有 很 大 的 份额 ， 尤 其 是 在 互联 网 时 代 ， 要 使 用 计算 机 就 离 不 
开 网 络 。 本 章 将 讲解 Linux 系统 的 网 络 配置 。 在 开始 配置 网 络 之 前 ， 需 要 了 解 一 些 基 本 的 网 
络 原理 。 

对 于 提供 互联 网 应 用 的 服务 器 ， 网 络 防火 墙 是 其 抵御 攻击 破坏 的 安全 屏障 ， 如 何在 攻击 
时 及 时 做 出 有 效 的 措施 是 网 络 应 用 时 时 刻 刻 要 面 对 的 问题 。 高 昂 的 硬件 防火 墙 是 一 般 开 发 者 
难以 接受 的 。Linux 系统 的 出 现 ， 为 开发 者 低 成 本 解决 安全 问题 提供 了 一 种 可 行 的 方案 。 要 
熟练 应 用 Linux 防火 墙 ， 首 先 需 要 了 解 TCP/IP 网 络 的 基本 原理 ， 理 解 Linux 防火 墙 的 工作 原 
理 ， 并 熟练 掌握 Linux 系统 下 提供 的 各 种 工具 。 

如 果 管 理 的 计算 机 有 几 十 台 ， 初 始 化 服务 器 配置 IP 地址、 网 关 和 子 网 掩 码 等 参数 是 一 个 
烦琐 耗 时 的 过 程 。 如 果 网 络 结构 要 更 改 ， 需 要 重新 初始 化 网 络 参数 ， 使 用 动态 主机 配置 协议 
(Dynamic Host Configuration Protocol，DHCP) 则 可 以 避免 此 问题 ， 客 户 端 可 以 从 DHCP 服 
务 端 检索 相关 信息 并 完成 相关 网 络 配 置 ， 在 系统 重启 后 依然 可 以 工作 。 尤 其 是 在 移动 办 公 领 
域 ， 只 要 区 域内 有 一 台 DHCP 服务 器 ， 用 户 就 可 以 在 办 公 室 之 间 自 由 活动 而 不 必 担 心 网 络 参 
数 配置 的 问题 。DHCP 提供 一 种 动态 指定 IP 地 址 和 相关 网 络 配置 参数 的 机 制 。 

如 今 互 联网 应 用 越 来 越 丰富 ， 如 仅仅 用 IP 地 址 标识 网 络 上 的 计算 机 是 不 可 能 完成 任务 
的 ， 也 没有 必要 ， 于 是 产生 了 域名 系统 。 域 名 系统 通过 一 系列 有 意义 的 名 称 标识 网 络 上 的 计 
算 机 ， 用 户 按 域名 请 求 某 个 网 络 服务 时 ， 域 名 系统 负责 将 其 解析 为 对 应 的 IP 地 址 ， 这 便 是 
DNS 。 

本 章 主要 涉及 的 知识 点 有 : 

@ 网 络 管理 协议 

e 常用 的 网 络 管理 命令 

e Linux 的 网 络 配置 方法 
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了 .| 网 络 管理 协议 介绍 


要 了 解 Linux 的 配置 , 首先 需要 了 解 相 关 的 网 络 管理 ,本 节 主 要 介绍 和 网 络 配 置 密切 相关 
的 TCP/IP 协议 、UDP 协议 和 ICMP 协议 。 


3.1.1 TCPI/IP 概述 


计算 机 网 络 是 由 地 理 上 分 散 的 、 具 有 独立 功能 的 多 台 计 算 机 , 通过 通信 设备 和 线路 互相 连 
接 起 来 , 在 配 有 相应 的 网 络 软件 的 情况 下 ,实现 计算 机 之 间 通 信和 资源 共享 的 系统 。 计算机 网 
络 按 其 所 跨越 的 地 理 范围 可 分 为 局 域 网 (Local Area Network，LAN) 和 广域网 (Wide Area 
Network，WAN)。 在 整个 计算 机 网 络 通信 中 ， 使 用 最 为 广泛 的 通信 协议 便 是 TCP/IP 协议 ,为 
网 络 互联 事实 上 的 标准 协议 ， 每 个 接 入 互联 网 的 计算 机 如 果 进 行 信息 传输 必然 使 用 该 协议 。 
TCP/IP 协议 主要 包含 传输 控制 协议 (Transmission Control Protocol, TCP) 和 网 际 协 议 (Internet 
Protocol，IP )。 


1. OSI 参考 模型 


计算 机 网 络 是 为 了 实现 计算 机 之 间 的 通信 , 任何 双方 要 成 功 地 进行 通信 , 必须 遵守 一 定 的 
信息 交换 规则 和 约定 ,在 所 有 的 网 络 中 , 每 一 层 的 目的 都 是 向 上 一 层 提供 一 定 的 服务 , 同时 利 
用 下 一 层 所 提供 的 功能 。TCP/IP 协议 体系 在 和 OSI 协议 体系 的 竞争 中 取得 了 决定 性 的 胜利 ， 
得 到 了 广泛 的 认可 ， 成 为 事实 上 的 网 络 协议 体系 标准 。Linux 系统 也 是 采用 TCP/IP 体系 结构 
进行 网 络 通信 。TCP/IP 协议 体系 和 OSI 参考 模型 一 样 ， 也 是 一 种 分 层 结构 。 由 基于 硬件 层次 
上 的 4 个 概念 性 层次 构成 ， 即 网 络 接口 层 、 网 际 互 联 层 、 传 输 层 和 应 用 层 。OSI 参考 模型 与 
TCP/IP 对 比如 图 3.1 所 示 。 


IS0/0SI 模 型 TCP/IP 模 型 
应 用 层 
表示 层 应 用 层 
会 话 层 
传输 层 | 一 一 一 传输 层 
网 络 层 [一 网 际 互联 层 
数据 链 路 层 
网 络 接口 层 
物理 层 


图 3.1 OSI 参考 模型 与 TCP/IP 协议 对 比 


网 络 接 口 层 主要 为 上 层 提 供 服 务 , 完成 链 路 控制 等 功能 , 网 际 互联 层 主 要 解决 主机 到 主机 
之 间 的 通信 问题 。 其 主要 协议 有 : 网 际 协议 (IP)、 地 址 解析 协议 (ARP)、 反 向 地 址 解析 协议 
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(RARP) 和 互联 网 控制 报 文 协议 (ICMP)。 传 输 层 为 应 用 层 提供 端 到 端的 通信 功能 ， 同 时 提 
供 流量 控制 ， 确 保 数 据 完整 和 正确 。TCP 协议 位 于 该 层 ， 提 供 一 种 可 靠 的 、 面 向 连接 的 数据 
传输 服务 ;与 此 对 应 的 是 UDP 协议 ， 提 供 不 可 靠 的 、 无 连接 的 数据 报 传输 服务 。 应 用 层 对 应 
于 OSI 参考 模型 中 的 上 面 3 层 ， 为 用 户 提供 所 需要 的 各 种 应 用 服务 ， 如 FTP、Telnet、DNS、 
SMTP 等 。 

TCP/IP 协议 体系 及 其 实现 中 有 很 多 概念 和 术语 ， 为 方便 理解 ， 本 节 集中 介绍 一 些 常用 的 
概念 与 术语 。 

2. 包 ( packet ) 

包 (packet) 是 网 络 上 传输 的 数据 片段 ， 也 称 分 组 ， 同 时 称 作 IP 数据 报 。 用 户 数据 按照 规 
定 划 分 为 大 小 适中 的 若干 组 ,每 个 组 加 上 包头 构成 一 个 包 ， 这 个 过 程 称 为 封装 。 网 络 上 使 用 包 


为 单位 传输 。 包 是 一 种 统称 ， 在 不 同 的 层次 ， 包 有 不 同 的 名 字 ， 如 TCP/IP 称 作 帧 、IP 层 称 为 
IP 数据 报 、TCP 层 称 为 TCP 报 文 等 。 图 3.2 为 IP 数据 报 格式 。 


0 4 8 16 20 31 
版 本 | 长 度 | ”服务 类 型 总 长 度 
标识 标志 分 片 位 移 
时 间 | 协议 ”| ”包头 校 验 和 | 
源 IP 地 址 
目的 I 地址 
选项 填充 
数据 
其 他 


图 3.2 IP 数据 报 格式 
3. 网 络 字 节 顺 序 


不 同体 系 结构 的 计算 机 存储 数据 的 格式 和 顺序 不 一 样 , 要 使 用 互联 网 互联 就 必须 定义 一 个 
数据 的 表示 标准 。 如 一 台 计 算 机 发 送 1 个 32 位 的 整数 至 另外 一 台 计 算 机 ， 由 于 机 器 上 存储 整 
数 的 字 节 顺序 可 能 不 一 样 , 按照 源 计 算 机 的 格式 发 送 到 目的 主机 可 能 会 改变 数字 的 值 。 TCP/IP 
协议 定义 了 一 种 所 有 机 器 在 互联 网 分 组 的 三 进 制 字 段 中 必须 使 用 的 网 络 标准 字 节 顺序 

(network standard byte order), 与 此 对 应 的 是 主机 字 节 顺序 ， 主 机 字 节 顺序 是 和 各 个 主机 密切 
相关 的 。 传 输 时 需要 遵循 以 下 转换 规则 :“ 主 机 字 节 顺序 一 网 络 字 节 顺序 一 主机 字 节 顺序 ”， 即 
发 送 方 将 主机 字 节 顺序 的 整数 转换 为 网 络 字 节 顺 序 然后 发 送出 去 ,接收 方 收 到 数据 后 将 网 络 字 
节 顺 序 的 整数 转换 为 自己 的 主机 字 节 顺序 然后 处 理 。 


4. 地 址 解析 协议 ( ARP ) 


TCP/IP 网 络 使 用 P 地 址 寻 址 ，IP 包 在 IP 层 实现 路 由 选择 。 但 是 人 P 包 在 数据 链 路 层 的 传输 却 
需要 知道 设备 的 物理 地 址 ， 因 此 需要 一 种 P 地 址 到 物理 地 址 的 转换 协议 。TCP/IP 协议 栈 使 用 一 种 
动态 绑 定 技术 来 实现 一 种 维护 起 来 既 高 效 又 容易 的 机 制 ， 这 就 是 地 址 解析 协议 (ARP)。 
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ARP 协议 是 在 以 太 网 这 种 有 广播 能 力 的 网 络 中 解决 地 址 转换 问题 的 方法 。 这 种 办 法 允许 
在 不 重新 编译 代码 、 不 需 维护 一 个 集中 式 数据 库 的 情况 下 , 在 网 络 中 动态 增加 新 机 器 。 其 原理 
简单 描述 为 : 当主 机 A 想 转换 某 一 IP 地 址 时 ， 通 过 向 网 络 中 广播 一 个 专门 的 报 文 分 组 ， 要 求 
具有 该 IP 地 址 机 以 其 物理 地 址 做 出 应 答 。 所 有 主机 都 能 收 到 这 个 请 求 ， 但 是 只 有 符合 条 件 的 
主机 才 辨 认 该 卫 地 址 ， 同 时 发 回 一 个 应 答 ， 应 答 中 包含 其 物理 地 址 。 主 机 A 收 到 应 答 时 便 知 
道 了 该 卫 地 址 对 应 的 物理 硬件 地 址 ， 并 使 用 这 个 地 址 直接 把 数据 分 组 发 送出 去 。 


3.1.2 UDP 与 ICMP 协议 简介 


UDP (User Datagram Protocol) 是 一 种 无 连接 的 传输 层 协议 ， 主 要 用 于 不 要 求 分 组 顺序 到 
达 的 传输 中 , 分 组 传输 顺序 的 检查 与 排序 由 应 用 层 完成 , 提供 面向 事务 的 简单 不 可 靠 信息 传送 
服务 。UDP 具有 不 提供 数据 包 分 组 、 组 装 和 不 能 对 数据 包 进行 排序 的 缺点 ， 当 报 文 发 送 之 后 ， 
是 无 法 得 知 其 是 否 安全 完整 到 达 的 ， 同 时 流量 不 易 控制 ， 若 网 络 质 量 较 差 ， 则 UDP 协议 数据 
包 丢 失 会 比较 严重 。UDP 协议 具有 资源 消耗 小 、 处 理 速度 快 的 优点 。 

ICMP 是 Internet Control Message Protocol (Internet 控制 报 文 协议 ) 的 缩写 ， 属 于 TCP/IP 
协议 族 的 一 个 子 协 议 ， 用 于 在 IP 主机 、 路 由 器 之 间 传 递 控制 消息 。 控 制 消息 是 指 网 络 通 不 通 、 
主机 是 否 可 达 、 路 由 是 否 可 用 等 网 络 本 身 的 消息 。 如 经 常 使 用 的 用 于 检查 网 络 通 不 通 的 ping 
命令 ，ping 的 过 程 实际 上 就 是 ICMP 协议 工作 的 过 程 。ICMP 唯一 的 功能 是 报告 问题 而 不 是 纠 
正 错误 ， 纠 正 错误 的 任务 由 发 送 方 完成 。 


了 .2 网 络 管理 命令 


在 进行 网 络 配置 之 前 首先 需要 了 解 网 络 管理 命令 的 使 用 ,本 节 主 要 介绍 网 络 管理 中 常用 的 
命令 。 


3.2.1 检查 网 络 是 否 通畅 或 网 络 连接 速度 ping 


ping 常常 用 来 测试 与 目标 主机 或 域名 是 否 可 达 , 通过 发 送 ICMP 数据 包 到 网 络 主机 、 显 示 
响应 情况 以 及 输出 信息 来 确定 目标 主机 或 域名 是 否 可 达 。ping 的 结果 通常 情况 下 是 可 信 的 ， 
由 于 有 些 服务 器 可 以 设置 禁止 ping， 从 而 使 ping 的 结果 并 不 是 完全 可 信 的 。ping 命令 常用 的 
参数 说 明 如 表 3.1 所 示 。 

Linux 下 ping 不 会 自动 终止 ， 需 要 按 “Ctrlte” 组 合 键 终止 或 用 参数 “-c” 指 定 要 求 完成 
的 回应 次 数 。 


41 


CentOS 7.5 系统 管理 与 运 维 实战 


不 显示 任何 传送 封包 的 信息 ， 只 显示 最 后 的 结果 


忽略 普通 的 Routing Table， 直 接 将 数据 包 送 到 远 端 主机 上 


| -R 。 ”| 记录 路 由 过 程 

| ;| 设 定 间 隔 儿 秒 送 一 个 网 络 封 包 给 一 台 机 器 ， 预 设 值 是 一 秒 送 一 次 

| | 使 用 指定 的 网 络 界面 送出 数据 包 | 
| -L_ | 设置 在 送出 要 求 信息 之 前 先行 发 出 的 数据 包 ”| 
| 让 | 设置 填 满 数据 包 的 范本 习 式 | 
| | 指定 发 送 的 数据 S# 数 | 
[| 设置 丰 活 数值 TTL 的 夏 | 


ping 常见 的 用 法 如 【示例 3-1】 所 示 。 
【示例 3-1】 
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除了 以 上 示例 ，ping 的 各 个 参数 还 可 以 结合 使 用 ， 读 者 可 上 机 加 以 练习 。 


3.2.2 ”配置 网 络 或 显示 当前 网 络 接口 状态 ifconfig 


ifconfig 命令 可 以 用 于 查看 、 配 置 、 启 用 或 禁用 指定 网 络 接口 ， 如 配置 网 卡 的 IP 地 址 、 掩 
码 、 广 播 地 址 、 网 关 等 ，Windows 类 似 的 命令 为 ifconfig。 语 法 如 下 : 


其 中 , interface 是 网 络 接口 名 ，address 是 分 配给 指定 接口 的 主机 名 或 人 P 地 址 。-net 和 -host 
参数 分 别 告诉 ifconfig 将 这 个 地 址 作为 网 络 号 或 是 主机 地 址 。 与 之 前 版 本 的 网 卡 命名 规则 不 
同 ，CentOS 7.5 采用 固件 信息 、 网 络 拓扑 等 信息 来 命名 网 卡 ， 这 种 方法 更 易于 固定 网 卡 的 名 称 。 
Linux 系统 中 的 网 卡 lo 为 本 地 环 回 接口 ，IP 地 址 固定 为 127.0.0.1， 子 网 掩 码 为 8 位 ， 表 示 本 
机 。ifconfig 常见 的 使 用 方法 如 【示例 3-2】 所 示 。 


【示例 3-2】 


CentOS 7.5 系 


说 明 : 

@ 第 1 行 UP 表示 此 网 络 接 口 为 启用 状态 RUNNING 表示 网 卡 设备 已 连接 MULTICAST 
表示 支持 组 播 ，mtu 为 数据 包 最 大 传输 单元 。 

第 2 行 : 依次 为 网 卡 IP、 子 网 掩 码 、 广 播 地 址 。 

第 3 行 : IPv6 地 址 。 

第 4 行 : Ethernet (以 太 网 ) 表示 连接 类 型 ，ether 为 网 卡 的 MAC 地 址 。 

第 5 行 : 接收 数据 包 个 数 、 大 小 统计 信息 。 

第 6 行 : 异常 接收 包 的 数量 ， 如 丢 包 量 、 错 误 等 。 

第 7 行 : 发 送 数据 包 个 数 、 大 小 统计 信息 。 

第 8 行 : 发 送 包 的 数量 ， 如 委 包 量 、 错 误 等 。 

如 果 第 6 行 和 第 8 行 中 的 丢 包 量 、 错 误 包 量 较 高 ， 通 常 表示 物理 链 路 存在 问题 ， 例 如 网 


线 干扰 过 大 、 距 离 太 长 等 。 
设置 IP 地 址 使 用 以 下 命令 : 


设置 完 后 使 用 这 onfig 命令 查看 ， 可 以 看 到 两 个 网 卡 信息 ， 分 别 为 ens33 和 ens33:1。 若 继 
续 设 置 其 他 IP， 可 以 使 用 类 似 的 方法 ， 如 【示例 3-3】 所 示 。 
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【示例 3-3】 


除 以 上 功能 外 ，ifconfig 还 可 以 设置 网 卡 的 MTU。 以 上 的 设置 会 在 重启 后 丢失 ， 如 需 重启 
后 依然 生效 ， 可 以 通过 设置 网 络 接口 文件 永久 生效 。 更 多 使 用 方法 可 以 参考 系统 帮助 man 
ifconfig。 


各 在 CentOS 和 RHEL 中 使 用 命令 ifup 和 ifdown 加 网 络 接口 名 ， 可 以 启用 、 禁 用 对 应 的 网 
络 接口 。 


3.2.3 ”显示 添加 或 修改 路 由 表 route 
route 命令 用 于 查看 或 编辑 计算 机 的 IP 路 由 表 。route 命令 的 语法 如 下 : 


参数 说 明 : 
e command: 指定 想 要 进行 的 操作 ， 如 add、change、delete、print。 
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destination: 指定 该 路 由 的 网 络 目标 。 

mask netmask: 指定 与 网 络 目标 相关 的 子 网 掩 码 。 

gateway: 网 关 。 

metric: 为 路 由 指定 一 个 整数 成 本 指标 ， 当 路 由 表 的 多 个 路 由 进行 选择 时 可 以 使 用 。 
dev if: 为 可 以 访问 目标 的 网 络 接口 指定 接口 索引 。 


route 使 用 方法 如 【示例 3-4】 所 示 。 
【示例 3-4】 


3.2.4 复制 文件 至 其 他 系统 scp 


本 地 主机 需要 和 远程 主机 进行 数据 迁移 或 文件 传送 时 ， 可 以 使 用 fp， 或 拱 建 Web 服务 ， 
另外 可 选 的 方法 有 scp 或 rsync。 scp 可 以 将 本 地 文件 传送 到 远程 主机 或 从 远程 主机 拉 取 文件 到 
本 地 。 其 一 般 语 法 如 下 所 示 ， 注 意 由 于 各 个 发 行 版 不 同 ，scp 语法 不 尽 相同 ， 具 体 使 用 方法 可 
查看 系统 帮助 。 


scp 命令 执行 成 功 返回 0， 失 败 或 有 异常 时 返回 大 于 0 的 值 ， 常 用 参数 说 明 如 表 3.2 所 示 。 


表 3.2 scp 命令 常用 参数 说 明 
说 明 


参数 
| “| 指定 远程 连接 D | 
把 进度 参数 关 掉 


| -+ ”| 递归 地 复制 整个 文件 夹 
元 余 模 式 。 打印 排 错 信息 方便 问题 定位 


scp 使 用 方法 如 【示例 3-5】 所 示 。 
【示例 3-5】 
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rsync 是 Linux 系统 下 常用 的 数据 镜像 备份 工具 ， 用 于 在 不 同 的 主机 之 间 同 步 文 件 。 除 了 
单个 文件 ，rsync 可 以 镜像 保存 整个 目录 树 和 文件 系统 ， 并 可 以 增 量 同 步 ， 并 保持 文件 原来 的 
属性 ， 如 权限 、 时 间 戳 等 。rsync 数据 传输 过 程 中 是 加 密 的 ， 保 证 数据 的 安全 性 。 

Tsync 命令 语法 如 下 : 


OPTION 可 以 指定 某 些 选项 ， 如 压缩 传输 、 是 否 递归 传输 等 ，SRC 为 本 地 目录 或 文件 ， 
USER 和 HOST 表示 可 以 登录 远程 服务 的 用 户 名 和 主机 ，DEST 表示 远程 路 径 。rsync 常用 参 
数 如 表 3.3 所 示 。 由 于 参数 众多 ， 这 里 只 列 出 某 些 有 代表 性 的 参数 。 


表 3.3 rsync 命令 常用 参数 说 明 


| 说明 


归档 模式 ， 表 示 以 递归 方式 传输 文件 ， 并 保持 所 有 文件 属性 ， 等 于 -riptgoD 


对 子 目录 以 递归 模式 处 理 


缴 
-Tt 


-R 使 用 相对 路 径 信息 
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( 续 表 ) 


参数 说 明 
保持 文件 权限 
日 


保持 文件 属 主 信息 


ie 
[mn Xf 人 输 | 
ae 


复制 文件 ， 不 进行 增 量 检测 
指定 使 用 rsh、SSH 方式 进行 数据 同步 


IP 超时 时 间 ， 单 位 为 和 
| -zz ” | 对 备份 的 文件 在 传输 时 进行 压缩 处 理 


--exclude=PATTERN 


--delete 删除 那些 DST 中 SRC 没有 的 文件 


日 
指定 排除 不 需要 传输 的 文件 模式 
Gl 


指定 其 他 的 配置 文件 ， 不 使 用 默认 的 rsyncd.conf 文件 
指定 其 他 的 rsyne 服务 端口 


在 传输 时 显示 传输 过 程 
指定 日 志文 件 格式 
--password-file=FILE 从 FILE 中 得 到 密码 


rsync 使 用 方法 如 【示例 3-6】 所 示 。 


【示例 3-6】 
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rsync 具有 增 量 传输 的 功能 ， 利 用 此 特性 可 以 用 来 做 文件 的 增 量 备份 。 通 过 rsync 可 以 解 
决 对 实时 性 要 求 不 高 的 数据 备份 需求 。 随 着 文件 增多 ，rsync 做 数据 同步 时 ， 需 要 扫描 所 有 文 
件 后 进行 对 比 ， 然 后 进行 差 量 传输 。 如 果 文 件 很 多 ， 扫 描 文件 是 非常 耗 时 的 ， 使 用 rsync 反而 
比较 低 效 。 


| 使 用 rsync 之 前 需要 做 一 些 简单 的 配置 ， 读 者 可 自行 参考 相关 文档 了 解 。 


3.2.6 ”显示 网 络 连 接 、 路 由 表 或 接口 状态 netstat 


netstat 命令 用 于 监控 系统 网 络 配 置 和 工作 状况 , 可 以 显示 内 核 路 由 表 、 活动 的 网 络 状态 以 
及 每 个 网 络 接 口 有 用 的 统计 数字 。 常 用 的 参数 如 表 3.4 所 示 。 


表 3.4 netstat 命 令 常 用 参数 说 明 


全 mr 
| me | 
mw | 
| 
a | 
| 


| jp | 显示 正在 使 用 Socket 的 程序 名 称 
EE 
| -。 | 显示 网 络 工作 信息 统计 表 


显示 TCP 端口 情况 


显示 UDP 端口 情况 
显示 命令 执行 过 程 
显示 版 本 信息 
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netstat 常见 使 用 方法 如 【示例 3-7】 所 示 。 
【示例 3-7】 
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netstat 工具 是 运 维 工 程 师 最 常用 的 工具 之 一 ， 经 常 被 用 来 查看 主机 网 络 状态 、 监 听 列 表 
等 ， 因 此 需要 掌握 好 此 工具 的 使 用 方法 。 


3.2.7 ”探测 至 目的 地 址 的 路 由 信息 traceroute 


traceroute 跟踪 数据 包 到 达 网 络 主机 所 经 过 的 路 由 ， 原 理 是 试图 以 最 小 的 TTL 发 出 探测 包 
来 跟踪 数据 包 到 达 目标 主机 所 经 过 的 网 关 ， 然 后 监听 一 个 来 自 网 关 ICMP 的 应 答 。 使 用 语法 如 
和 


常用 参数 如 表 3.5 所 示 。 
表 3.5 traceroute 命令 常用 参数 说 明 


traceroute 常用 操作 如 【示例 3-8】 所 示 。 
【示例 3-8】 
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以 上 示例 每 行 记录 对 应 一 跳 ， 每 跳 表示 一 个 网 关 ， 每 行 有 3 个 时 间 ， 单 位 是 ms， 如 域名 
不 通 或 主机 不 通 可 根据 显示 的 网 关 信息 定位 。 星 号 表示 ICMP 信息 没有 返回 ， 以 上 示例 访问 
www.mysql.com 时 不 通 ， 数 据 包 到 达 某 一 节点 时 没有 返回 ， 可 以 将 此 结果 提交 IDC 运营 商 ， 
以 便于 解决 问题 。 

traceroute 实际 上 是 通过 给 目标 机 的 一 个 非法 UDP 端口 号 发 送 一 系列 UDP 数据 包 来 工作 
的 。 使 用 默认 设置 时 ， 本 地 机 给 每 个 路 由 器 发 送 3 个 数据 包 ， 最 多 可 经 过 30 个 路 由 器 。 如 果 
已 经 经 过 了 30 个 路 由 器 , 但 还 未 到 达 目 标 机 ， 那 么 traceroute 将 终止 。 每 个 数据 包 都 对 应 一 个 
Max_ttl 值 ， 同 一 跳 步 的 数据 包 该 值 一 样 ， 不 同 跳 步 的 数据 包 的 值 从 1 开始 ， 每 经 过 一 个 跳 步 
值 加 1。 当 本 地 机 发 出 的 数据 包 到 达 路 由 器 时 ， 路 由 器 就 响应 一 个 ICMPTimeExceed 消息 ， 于 
是 traceroute 就 显示 出 当前 跳 步 数 、 路 由 器 的 IP 地 址 或 名 字 、3 个 数据 包 分 别 对 应 的 周转 时 间 
(以 ms 为 单位 )。 如 果 本 地 机 在 指定 的 时 间 内 未 收 到 响应 包 ， 那 么 在 数据 包 的 周转 时 间 栏 就 
显示 出 一 个 星 号 。 当 一 个 跳 步 结束 时 ， 本 地 机 根据 当前 路 由 器 的 路 由 信息 , 给 下 一 个 路 由 器 发 
出 3 个 数据 包 ， 周 而 复 始 ， 直 到 收 到 一 个 ICMPPORT_UNREACHABLE 的 消息 ， 意 味 着 已 到 
达 目 标 机 ， 或 已 达到 指定 的 最 大 跳 步 数 。 


3.2.8 测试 、 登 录 或 控制 远程 主机 telnet 


telnet 命令 通常 用 来 远程 登录 。telnet 程序 是 基于 TELNET 协议 的 远程 登录 客户 端 程序 。 
TELNET 协议 是 TCP/IP 协议 族 中 的 一 员 ， 是 Internet 远程 登录 服务 的 标准 协议 和 主要 方式 ， 
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为 用 户 提供 了 在 本 地 计算 机 上 完成 远程 主机 工作 的 能 力 。 在 客户 端 可 以 使 用 telnet 在 程序 中 输 
入 命令 ， 可 以 在 本 地 控制 服务 器 。 由 于 telnet 采用 明文 传送 报 文 ， 因 此 安全 性 较 差 。telnet 可 
以 确定 远程 服务 端口 的 状态 ， 以 便 确 认 服 务 是 否 正 常 。telnet 常用 方法 如 【示例 3-9】 所 示 。 


1 3-9】 


如 果 发 现 端口 可 以 正常 telnet 登录 ， 就 表示 远程 服务 正常 。 除 确认 远程 服务 是 否 正常 外 ， 
对 于 提供 开放 telnet 功能 的 服务 ,使 用 telnet 可 以 登录 远程 端口 , 输入 合法 的 用 户 名 和 口令 后 ， 
就 可 以 进行 其 他 工作 了 。 更 多 的 使 用 帮助 可 以 查看 系统 帮助 。 


3.2.9 下 载 网 络 文件 wget 


wget 类 似 Windows 中 的 下 载 工 具 ， 大 多 数 Linux 发 行 版 本 都 默认 包含 此 工具 。 用 法 比较 
简单 ， 如 要 下 载 某 个 文件 ， 可 以 使 用 以 下 命令 : 


wget 常用 参数 说 明 如 表 3.6 所 示 。 
表 3.6 wget 命令 常用 参数 说 明 
EE 


不 覆盖 已 有 的 文件 


该 参数 指定 wget 只 下 载 更 新 的 文件 
显示 服务 器 响应 


-c 断 点 下 传 
NN 
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(单位 秘 ) 
重 试 延 时 《单位 种) 


| 四 | 只 下 载 目标 站 点 指定 目录 及 其 子 目 孙 的 m 容 | 


wget 具有 强大 的 功能 ， 比 如 断 点 续 传 ， 可 同时 支持 FTP 或 HTTP 协议 下 载 ， 并 可 以 设置 
代理 服务 器 。 常 用 方法 如 【示例 3-10】 所 示 。 


【示例 3-10】 


wget 其 他 用 法 可 参考 系统 帮助 ， 其 功能 等 待 慢 慢 探索 。 
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3 3 Linux 网 络 配 置 


Linux 系统 在 服务 器 中 占用 较 大 份额 ， 使 用 计算 机 首先 要 了 解 网 络 配 置 ， 本 节 主 要 介绍 
Linux 系统 的 网 络 配 置 。 


3.3.1 Linux 网 络 相 关 配 置 文件 


Linux 网 络 配置 相关 的 文件 根据 不 同 的 发 行 版 目录 名 称 有 所 不 同 ， 但 大 同 小 异 ， 主 要 有 以 
下 目录 或 文件 。 


(1) /etc/hostname: 主要 功能 在 于 修改 主机 名 称 。 

(2) /etc/sysconfig/network-scrips/ifefg-enoN: 设置 网 卡 参数 的 文件 ， 比 如 IP 地 址 、 子 网 
掩 码 、 广 播 地 址 、 网 关 等 ，N 为 一 串 数字 。 

(3) /etc/resolv.conf: 此 文件 设置 了 DNS 相关 的 信息 ， 用 于 将 域名 解析 到 IP。 

(4) /etc/hosts: 计算 机 的 IP 对 应 的 主机 名 称 或 域名 对 应 的 IP 地 址 ， 通 过 设置 
/etc/nsswitch.conf 中 的 选项 可 以 选择 是 DNS 解析 优先 还 是 本 地 设置 优先 。 

(5) /etc/nsswitch.conf (name service switch configuration， 名 字 服 务 切换 配置 ): 规定 通过 
哪些 途径 ， 以 及 按照 什么 顺序 通过 这 些 途径 来 查找 特定 类 型 的 信息 。 


3.3.2 ”配置 Linux 系统 的 IP 地 址 


要 设置 主机 的 IP 地 址 ， 可 以 直接 通过 终端 命令 设置 ， 如 想 设置 在 系统 重启 后 依然 生效 ， 
可 以 设置 对 应 的 网 络 接口 文件 ， 如 【示例 3-11】 所 示 。 


【示例 3-11】 
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主要 字段 的 含义 如 表 3.7 所 示 。 
表 3.7 网 卡 设置 参数 说 明 


参数 | 区 


设置 完 这 人 e-eth0 文件 后 ， 需 要 重启 网 络 服务 才能 生效 ， 重 启 后 使 用 ifconfig 查看 设置 是 
否 生效 ; 


同一 个 网 络 接口 可 以 使 用 子 接口 的 方式 设置 多 个 IP 地 址 ， 如 【示例 3-12】 所 示 。 
【示例 3-12】 


当 服 务 器 重启 或 网 络 服务 重启 后 ， 子 接口 配置 将 消失 ， 如 需 重启 后 依然 生效 ， 可 以 将 配置 
子 接口 命令 加 入 /etc/rc.local 文件 中 。 
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3.3.3 设置 主机 名 


主机 名 是 识别 某 个 计算 机 在 网 络 中 的 标识 。 设 置 主机 名 ， 使 用 hostname 命令 即 可 。 在 单 
机 情况 下 主机 名 可 任意 设置 ， 如 以 下 命令 在 重新 登录 后 发 现 主机 名 已 经 改变 。 


若 要 修改 重启 后 依然 生效 ,可 以 将 主机 名 写 入 文件 /etc/hostname 中 , 如 【示例 3-13】 所 示 。 
【示例 3-13】 


3.3.4 设置 默认 网 关 


设置 好 IP 地 址 以 后 ， 如 果 要 访问 其 他 的 子 网 或 Internet， 用 户 还 需要 设置 路 由 ， 在 此 不 做 
介绍 ， 这 里 采用 设置 默认 网 关 的 方法 。 在 Linux 中 ， 设 置 默 认 网 关 有 两 种 方法 : 


(1) 第 1 种 方法 就 是 直接 使 用 route 命令 。 在 设置 默认 网 关 之 前 ， 先 用 route -mn 命令 查 
看 路 由 表 。 可 执行 如 下 命令 设置 网 关 : 


如 果 不 想 每 次 开机 都 执行 route 命令 ， 可 把 要 执行 的 命令 写 入 /etc/re.d/re.local 文件 中 。 
(2) 第 2 种 方法 是 在 /etc/sysconfig/network-scripts/ifcfg- 接 口 文 件 中 添加 如 下 字段 : 


同样 ， 只 要 是 更 改 了 脚本 文件 ， 就 必须 重启 网 络 服务 来 使 设置 生效 ， 可 执行 下 面 的 命令 : 


使 用 service 命令 时 需要 注意 ， 由 于 CentOS 7.5 中 使 用 的 是 systemd， 因 此 开启 和 停止 服 
务 通常 使 用 systemctl 代替 ， 但 也 可 以 使 用 service。 


使 用 命令 方式 配置 默认 路 由 通常 适用 于 临时 测试 。 


3.3.5 设置 DNS 服务 器 


设置 DNS 服务 器 ， 修 改 /etc/resolv.conf 文件 即 可 。 下 面 是 一 个 resolvconf 文件 的 示例 。 
【示例 3-14】 
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options timeout:1 attempts:2 


其 中 ，192.168.3.1 为 第 一 名 字 服 务 器 ，192.168.3.2 为 第 二 名 字 服 务 器 ，options rotate 选项 
指 在 这 2 个 dns server 之 间 轮 询 ，option timeout:1 表示 解析 超时 时 间 1s (默认 为 5s)，attempts 
表示 解析 域名 尝试 的 次 数 。 如 需 添 加 DNS 服务 器 ， 可 直接 修改 此 文件 。 需 要 注意 的 是 ， 使 用 
nameserver 指定 的 DNS 服务 器 只 有 前 三 条 生效 。 


Q3.4 Linux 默认 防火 墙 firewalld 


在 CentOS 7.5 中 ， 系 统 安装 了 两 个 防火 墙 : firewalld 和 iptables， 默 认 使 用 firewalld。 本 
节 我 们 先 介绍 firewalld 的 特性 和 使 用 方法 ， 下 一 节 再 介绍 iptables。 


3.4.1 firewalld 特性 


1. firewalld 和 iptables 的 关系 

firewalld 仅仅 是 替代 了 iptables service 部 分 ， 底 层 还 是 使 用 iptables 作为 防火 墙 规则 管理 
入 口 。firewalld 使 用 Python 语言 编写 ， 提 供 了 一 个 daemon 和 service， 还 提供 命令 行 和 图 形 界 
面 配置 工具 。 

2. 静态 防火 墙 和 动态 防火 墙 

iptables 一 般 称 为 静态 防火 墙 ， 也 就 是 即使 只 修改 一 条 规则 也 要 把 所 有 规则 都 重新 载 入 ， 
这 样 做 会 在 修改 规则 的 时 候 对 整个 系统 的 网 络 造成 影响 。firewalld 一 般 称 为 动态 防火 墙 ， 它 的 
出 现 就 是 为 了 解决 iptables 的 这 一 问题 ,任何 规则 的 变更 都 只 需要 将 变更 部 分 保存 并 更 新 到 运 
行 中 的 iptables 就 可 以 了 ， 这 样 也 不 会 影响 到 整个 系统 的 网 络 ， 只 会 影响 到 使 用 规则 的 应 用 的 
网 络 。 

3. 采用 xml 作为 配置 文件 


firewalld 的 配置 文件 被 放置 在 不 同 的 xml 文件 当中 , 这 使 得 对 规则 的 维护 变 得 更 加 容易 和 
可 读 、 有 条 理 。 相 比 于 iptables 的 规则 配置 文件 而 言 ， 这 显然 可 以 算 作 是 一 个 进步 。 


4. 区 域 模型 定义 


有 点 类 似 Windows 的 防火 墙 ，firewalld 通过 对 iptables 自 定义 链 的 使 用 ,抽象 出 一 个 区 域 
模型 的 概念 。 针 对 各 种 规则 统一 成 一 套 默 认 的 标准 使 用 规范 和 流程 , 使 得 防火 墙 在 易 用 性 和 通 
用 性 上 得 到 提升 。 
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3.4.2 firewalld 基本 术语 
1. 网 络 区 域 zone 


网 络 区 域 zone 定义 了 网 络 连接 的 可 信 等 级 。 这 是 一 个 一 对 多 的 关系 ， 这 意味 着 一 次 连接 
可 以 仅仅 是 一 个 区 域 的 一 部 分 , 而 一 个 区 域 可 以 用 于 很 多 连接 。firewalld 将 网 卡 对 应 到 不 同 的 
区 域 (zone)。zone 默认 共有 9 个 : block、dmz、 drop、external、 home、internal、 public、trusted、 
work。 不 同 区 域 之 间 的 差异 ， 是 其 对 待 数据 包 的 默认 行为 不 同 。 

根据 区 域名 字 ， 我 们 可 以 很 直观 地 知道 该 区 域 的 特征 。 在 CentOS 7.5 系统 中 ， 默 认 区 域 
被 设置 为 public。 

所 有 可 用 zone 的 xml 配置 文件 被 保存 在 /usr/lib/firewalld/zones/ 目 录 , 该 目录 中 的 配置 为 默 
认 配 置 ， 不 允许 管理 员 手动 修改 。 

自 定义 zone 配置 需 保存 到 /etc/firewalld/zones/ 目 录 。 


2. 服务 service 


服务 service 是 端口 和 /或 协议 入 口 的 组 合 。 服 务 所 使 用 的 TCP/UDP 端口 的 配置 文件 存放 
在 /usr/lib/firewalld/services/ 目 录 中 ， 如 SSH 服务 等 。 最 新 版 本 的 firewalld 中 默认 已 经 定义 了 
70 多 种 服务 供 我 们 使 用 。 

当 默 认 提供 的 服务 不 够 用 或 者 需要 自 定义 某 项 服务 的 端口 时 ， 需 要 将 service 配置 文件 放 
秆 在 /etc/firewalld/services/ 目 录 中 。 

service 配置 的 优势 : 


8 通过 服务 名 字 来 管理 规则 更 加 人 性 化 。 

@ 通过 服务 来 组 织 端口 分 组 的 模式 更 加 高 效 ， 如 果 一 个 服务 使 用 了 若干 个 网 络 端口 ， 则 
服务 的 配置 文件 就 相当 于 提供 了 到 这 些 端口 的 规则 管理 的 批量 操作 快捷 方式 。 每 加 载 
一 项 service 配置 就 意味 着 开放 了 对 应 的 端口 访问 。 


3.4.3 firewalld 使 用 
1. 管理 firewalld 服务 
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2. zone 管理 


3. service 管理 
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3 5 Linux 防火 墙 iptables 


在 CentOS 7 之 前 的 版 本 均 使 用 iptables， 因 此 本 书 也 介绍 iptables 的 使 用 。 要 使 用 iptables 
防火 墙 ， 必 须要 先 了 解 TCP/IP 网 络 的 基本 原理 ， 理 解 Linux 防火 墙 的 工作 原理 。 本 节 主 要 介 
绍 Linux 防火 墙 方面 的 知识 。 


3.5.1 Linux 内 核 防火 墙 的 工作 原理 


Linux 内 核 提供 的 防火 墙 功能 通过 netfiter 框架 实现 ,并 提供 了 iptables 工具 配置 和 修改 防 
火 墙 的 规则 。 

netfilter 的 通用 框架 不 依赖 于 具体 的 协议 ， 而 是 为 每 种 网 络 协议 定义 一 套 钧 子 函数 。 这 些 
钧 子 函 数 在 数据 包 经 过 协议 栈 的 几 个 关键 点 时 被 调用 , 在 这 几 个 点 中 , 协议 栈 将 数据 包 及 钩子 
函数 作为 参数 ， 传 递 给 netfilter 框架 。 

对 于 每 种 网 络 协议 定义 的 钧 子 函数 ， 任 何 内 核 模块 都 可 以 对 每 种 协议 的 一 个 或 多 个 钧 子 函 
数 进行 注册 ， 实 现 挂 接 。 这 样 当 某 个 数据 包 被 传递 给 netfilter 框架 时 ， 内 核能 检测 到 是 否 有 有 关 
模块 对 该 协议 和 钧 子 函 数 进行 了 注册 。 若 发 现 注册 信息 则 调用 该 模块 在 注册 时 使 用 的 回调 函数 ， 
然后 对 应 模块 去 检查 、 修 改 、 丢 弃 该 数据 包 及 指示 netfilter 将 该 数据 包 传 入 用 户 空间 的 队列 。 

从 以 上 描述 可 以 得 知 钩子 提供 了 一 种 方便 的 机 制 , 以 便 在 数据 包 通 过 Linux 内 核 的 不 同位 
署 上 截获 和 操作 处 理 数据 包 。 


1. netfilter 的 体系 结构 


网 络 数据 包 的 通信 主要 经 过 以 下 相关 步骤 对 应 netfilter 定义 的 钩子 函数 ， 更 多 信息 可 以 参 
考 源 代 码 。 


@ NF_IP_PRE ROUTING: 网 络 数 据 包 进入 系统 ， 经 过 了 简单 的 检测 后 ， 数 据 包 转交 给 
该 函数 进行 处 理 ， 然 后 根据 系统 设置 的 规则 对 数据 包 进行 处 理 ， 如 果 数 据 包 不 被 丢弃 
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就 交 给 路 由 函数 进行 处 理 。 在 该 函数 中 可 以 替换 JP 包 的 目的 地 址 ， 即 DNAT。 
NF_IP_LOCAL IN: 所 有 发 送 给 本 机 的 数据 包 都 要 通过 该 函数 的 处 理 ， 该 函数 根据 系 
统 设置 的 规则 对 数据 包 进 行 处 理 ， 如 果 数 据 包 不 被 丢弃 就 交 给 本 地 的 应 用 程序 。 
NF_IP FORWARD: 所 有 不 是 发 送 给 本 机 的 数据 包 都 要 通过 该 函数 进行 处 理 ， 该 函数 
会 根据 系统 设置 的 规则 对 数据 包 进 行 处 理 ， 若 数据 包 不 被 丢弃 则 转 到 
NF_IP POST_ROUTING 进行 处 理 。 

NF_IP_LOCAL OUT: 所 有 从 本 地 应 用 程序 出 来 的 数据 包 必 须 通过 该 函数 的 处 理 ， 该 函数 
根据 系统 设置 的 规则 对 数据 包 进 行 处 理 ， 如 果 数据 包 不 被 丢弃 就 交 给 路 由 函数 进行 处 理 。 
NEF_IP POST ROUTING: 所 有 数据 包 在 发 给 其 他 主机 之 前 需要 通过 该 函数 的 处 理 ， 该 
函数 根据 系统 设置 的 规则 对 数据 包 进 行 处 理 ， 如 果 数 据 包 不 被 丢 齐 ， 就 将 数据 包 发 给 
数据 链 路 层 。 在 该 函数 中 可 以 蔡 换 IP 包 的 源 地 址 ， 即 SNAT。 


图 3.3 显示 了 数据 包 在 通过 Linux 防火 墙 时 的 处 理 过 程 。 
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图 3.3 数据 包 在 通过 Linux 防火 墙 时 的 处 理 过 程 
包 过 滤 


每 个 函数 都 可 以 对 数据 包 进 行 处 理 , 最 基本 的 操作 为 对 数据 包 进行 过 滤 。 系 统管 理 员 可 以 
通过 iptables 工具 来 向 内 核 模 块 注册 多 个 过 滤 规 则 ， 并 且 指 明 过 滤 规 则 的 优先 权 。 设 置 完 以 后 
每 个 钧 子 按照 规则 进行 匹配 ， 如 果 与 规则 匹配 ， 函 数 就 会 进行 一 些 过 滤 操 作 ， 这 些 操作 主要 是 
以 下 几 个 : 


NF_ACCEPT: 继续 正常 地 传递 包 。 
NF_DROP: 丢弃 包 ， 停 止 传送 。 
NF_STOLEN: 已 经 接管 了 包 ， 不 要 继续 传送 。 
NF_QUEUE: 排列 包 。 

NF_REPEAT: 再 次 使 用 该 钩子 。 
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3. 包 选 择 


在 netfilter 框架 上 已 经 创建 了 一 个 包 选 择 系统 ， 这 个 包 选 择 工具 默认 已 经 注册 了 3 个 表 ， 
分 别 是 过 滤 (filter) 表 、 网 络 地 址 转换 (NAT) 表 和 mangle 表 。 

在 调用 钩子 函 数 时 是 按照 表 的 顺序 来 调用 的 。 例 如 ， 在 执行 NF_IP_PRE_ROUTING 时 ， 
首先 检查 filter 表 ， 然 后 检查 Mangle 表 ， 最 后 检查 NAT 表 。 

过 滤 (filter) 表 过 滤 包 而 不 会 改变 包 ， 仅 仅 是 过 滤 的 作用 ， 实 际 上 由 网 络 过 滤 框 架 来 提供 
NF_IP FORWARD 钩子 的 输出 和 输入 接口 使 得 很 多 过 滤 工 作 变 得 非常 简单 。 从 图 3.3 中 可 以 
看 出 ，NF_IP_LOCAL IN 和 NF_IP_LOCAL OUT 也 可 以 做 过 滤 ， 但 是 只 是 针对 本 机 。 

网 络 地址 转换 (NAT) 表 分 别 服务 于 两 套 不 同 的 网 络 过 滤 挂 钧 的 包 ， 对 于 非 本 地 包 ， 
NF_IP_PRE_ROUTING 和 NF_IP_POST_ROUTING 挂钩 可 以 完美 地 解决 源 地 址 和 目的 地 址 的 
变更 。 

NAT 表 与 filter 表 的 区 别 在 于 只 有 新 建 连接 的 第 1 个 包 会 在 表 中 传送 , 结果 将 被 用 于 以 后 
所 有 来 自 这 一 连接 的 包 。 例如 ,， 某 一 个 连接 的 第 1 个 数据 包 在 这 个 表 中 被 替换 了 源 地 址 ， 那 么 
以 后 这 条 连接 的 所 有 包 都 将 被 替换 源 地 址 。 

mangle 表 被 用 于 真正 的 改变 包 的 信息 ，mangle 表 和 所 有 的 5 个 网 络 过 滤 的 钩子 函数 都 有 关 。 


4. 切换 至 iptables 


在 正式 学 习 iptables 之 前 ， 还 需要 将 默认 使 用 的 firewalld 停止 ， 并 让 系统 将 iptables 作为 
默认 防火 墙 。 其 命令 如 下 : 


使 用 上 述 命令 之 后 就 可 以 在 CentOS 7.5 中 使 用 iptables 了 。 


3.5.2 ”Linux 软件 防火 墙 iptables 


iptables 工具 用 来 设置 、 维 护 和 检查 Linux 内 核 的 IP 包 过 滤 规 则 。filter、NAT 和 mangle 
表 可 以 包含 多 个 链 〈chain )， 每 个 链 可 以 包含 多 条 规则 (rule)。iptables 主要 对 表 (table)、 链 
(Cchain) 和 规则 (rule) 进行 管理 。 
iptables 预定 义 了 5 个 链 , 分别 对 应 netfilter 的 5 个 钧 子 函 数 。 这 5 个 链 分 别 是 INPUT 链 、 
FORWARD 链 、OUTPUT 链 、PREROUTING 链 、POSTROUTING 链 。 
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iptables 指令 语法 如 下 : 
iptables [-t table] command [match] [-j target/jonp] 


“-ttable” 参 数 用 来 指定 规则 表 ， 内 建 的 规则 表 分 别 为 nat、mangle 和 fter， 当 未 指定 规 
则 表 时 ， 默 认为 flter。 各 个 规则 表 的 功能 如 下 : 


@ hat 此 规则 表 主 要 针对 PREROUTING 和 POSTROUTING 两 个 规则 链 ， 主 要 功能 为 进 
行 源 地 址 或 目的 地 址 的 网 址 转换 工作 (SNAT、DNAT ) 。 

e mangle: 此 规则 表 主 要 针对 PREROUTING、FORWARD 和 POSTROUTING 3 个 规则 
链 ， 某 些 特殊 应 用 可 以 在 此 规则 表 里 设 定 ， 比 如 为 数据 包 做 标记 。 

@ filter: 这 个 规则 表 是 默认 规则 表 ， 针 对 INPUT、FORWARD 和 OUTPUT 3 个 规则 链 ， 
这 个 规则 表 主 要 用 来 进行 封包 过 滤 的 处 理 动作 如 DROP. LOG. ACCEPT 或 REJECT, 


iptables 的 简单 用 法 如 【示例 3-15】 所 示 。 
【示例 3-15】 


| “-t filter” 表 示 该 规则 作用 于 filter 表 ，“-A” 表 示 新 增 规则 ，“-s” 表 示 卫 段 先 
项 ，“-j” 表 示 指 定 动作 。 该 规则 表示 在 filter 表 FORWARD 链 上 新 增 一 条 规则 ， 发 往 
192.168.19.0/24 网 段 的 包 采取 丢弃 操作 。 要 查看 某 个 表 下 各 个 链 的 信息 , 可 以 使 用 “iptables 
LL” 。 


要 使 Linux 系统 成 为 网 络 防火 墙 ， 当 然 除了 内 核 支持 之 外 ， 还 需要 启用 Linux 的 网 络 转发 
功能 。 
| Se > /e/a IT | 
若 需 要 在 系统 启动 时 就 具有 该 功能 ， 则 可 将 上 面 的 命令 写 入 /etc/re.d/re.local 文件 中 。 
数据 包 通 过 表 和 链 时 需要 遵循 一 定 的 顺序 , 当 数 据 包 到 达 防 火 墙 时 , 如 果 MAC 地 址 符合 ， 
就 会 由 内 核 里 相应 的 驱动 程序 接收 ， 然 后 经 过 一 系列 操作 ， 从 而 决定 是 发 送 给 本 地 的 程序 还 是 
转发 给 其 他 机 器 。 数 据 包 通过 防火 墙 时 分 以 下 3 种 情况 。 


1. 以 本 地 为 目标 的 包 


当 一 个 数据 包 进入 防火 墙 后 ， 如 果 目 的 地 址 是 本 机 ,被 防火 墙 进行 检查 的 顺序 如 表 3.8 所 
示 。 如 果 在 某 一 个 步 又 数据 包 被 丢弃 ， 当 然 就 不 会 执行 后 面 的 检查 了 。 


第 3 章 运 维 必 备 的 网 络 管理 技能 


表 3.8 以 本 地 为 目的 的 包 检查 顺序 
步骤 ” 表 链 说 明 


数据 包 在 链 路 上 进行 传输 
数据 包 进入 网 络 接口 


mangle PREROUTING | 这 个 链 用 来 mangle 数据 包 ， 如 对 包 进 行 改写 或 做 标记 


S| 


3 

4 nat PREROUTING | 这 个 链 主 要 用 来 做 DNAT 

5 路 由 判断 ， 如 包 是 发 往 本 地 的 还 是 要 转发 的 

6 mangle INPUT 在 路 由 之 后 ， 被 送 往 本 地 程序 之 前 ， 对 包 进 行 改写 或 做 标记 

7 filter INPUT 所 有 以 本 地 为 目的 的 包 都 需 经 过 这 个 链 ， 包 的 过 滤 规 则 设置 在 此 
8 


数据 包 到 达 本 地 程序 ， 如 服务 程序 或 客户 程序 


DD 


. 以 本 地 为 源 的 包 
本 地 应 用 程序 发 出 的 数据 包 ， 被 防火 墙 进行 检查 的 顺序 如 表 3.9 所 示 。 


表 3.9 以 本 地 为 源 的 包 检查 顺序 
步骤 ” 表 链 说 明 
| | | | 本 地 程序, 如 服 和 程序 或 安 P 各 订 | 
站 


7 
[ls | | lag | 
[9 | | | agefitytk 输 | 


对 本 地 发 出 的 包 进 行 过 滤 ， 包 的 过 滤 规则 设置 在 此 


3. 被 转发 的 包 
需要 通过 防火 墙 转发 的 数据 包 ， 被 防火 墙 进行 检查 的 顺序 如 表 3.10 所 示 。 


表 3.10 ”被 转发 的 包 检查 顺序 
表 链 说 明 
| | | AUME 答 | 
| | IMAmg 接 0 | 
PREROUTING mangle 数据 包 ， 如 对 包 进 行 改写 或 做 标记 
PREROUTING 这 个 链 主要 用 来 做 DNAT 
路 由 判断 ， 如 包 是 发 往 本 地 的 ， 还 是 要 转发 


FORWARD 包 继续 被 发 送 至 mangle 表 的 FORWARD 链 ， 在 非常 特殊 的 情况 
下 才 会 用 到 。 在 这 里 ， 包 被 mangle。 这 次 mangle 发 生 在 最 初 的 路 
由 判断 之 后 ， 在 最 后 一 次 更 改 包 的 目的 之 前 
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FORWARD FORWARD 包 继 续 被 发 送 至 这 条 FORWARD 链 。 只 有 需要 转发 的 
包 才 会 走 到 这 里 ， 并 且 针 对 这 些 包 的 所 有 过 滤 也 在 这 里 进行 。 注 
意 ， 所 有 要 转发 的 包 都 要 经 过 这 里 

POSTROUTING | 这 个 链 也 是 针对 一 些 特殊 类 型 的 包 。 这 一 步 mangle 是 在 所 有 更 改 


包 的 目的 地 址 的 操作 完成 之 后 做 的 ， 但 这 时 包 还 在 本 地 上 


POSTROUTING | 这 个 链 就 是 用 来 做 SNAT 的 ， 不 推荐 在 此 处 过 滤 ， 因 为 某 些 包 即 
使 不 满足 条 件 也 会 通过 


数据 包 在 链 路 上 传输 
在 对 包 进 行 过 滤 时 ， 常 用 的 有 以 下 3 个 动作 。 
(1) ACCEPT: 一 旦 数据 包 满足 了 指定 的 匹配 条 件 ， 数 据 包 就 会 被 ACCEPT， 并 且 不 会 


再 去 匹配 当前 链 中 的 其 他 规则 或 同一 个 表 内 的 其 他 规则 ， 但 数据 仍然 需要 通过 其 他 表 中 的 链 。 
(2) DROP: 如 果 包 符合 条 件 ， 数 据 包 就 会 被 丢掉 ， 并 且 不 会 向 发 送 者 返回 任何 信息 ， 


也 不 会 向 路 由 器 返回 信息 。 
(3) REJECT: 和 DROP 基本 一 样 ， 区 别 在 于 除了 将 包 丢 弃 以 外 ， 还 会 向 发 送 者 返回 错 


要 进一步 了 解 各 个 链 中 规则 的 匹配 顺序 ， 就 来 学 习 一 下 filter 表 中 FORWARD 链 的 输出 ， 
如 【示例 3-16】 所 示 。 


【示例 3-16】 


[root@CentOSs ~]# iptables -nvL 

Chain FORWARD (policy DROP) 

target prot opt source destination 

ACCEPT all -- 192.168.100.0/24 0.0.0.0/0 
ACCEPT all -- 0.0.0.0/0 69.147.0.0/24 

ACCEPT all -- 172.16.0.0/16 0.0.0.0/0 
mychain tcp -- 10.0.0.0/24 0.0.0.0 tcp dpt:80 


“policy DROP ”表示 该 链 的 默认 规则 为 DROP 操作 。 如 现 有 一 数据 包 ， 源 地 址 为 
192.168.1.58， 目 的 地 址 为 137.254.60.6， 协 议 为 TCP， 目 的 端口 为 80， 当 该 数据 包 通 过 
FORWARD 链 时 ， 从 上 往 下 开始 匹配 : 

(1) 与 第 1 条 规则 : 源 为 192.168.100.0/24， 源 不 匹配 。 

(2) 与 第 2 条 规则 : 目的 为 69.147.0.0/24， 目 标 不 匹配 。 

(3) 与 第 3 条 规则 : 源 为 172.16.0.0016， 源 不 匹配 。 

(4) 与 第 4 条 规则 : 源 为 10.0.0.0/24， 源 不 匹配 。 


经 过 匹配 , 以 上 所 有 规则 都 不 符合 ,数据 包 将 转交 给 默认 规则 处 理 。 由 于 本 示例 中 默认 的 


a 


_ 
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规则 为 DROP， 因 此 该 数据 包 被 丢弃 。 
再 看 另 一 个 数据 包 ， 源 地 址 为 192.168.1.58， 目 的 地 址 为 69.147.83.199， 协 议 为 TCP， 目 
的 端口 为 80， 当 该 数据 包 通过 FORWARD 链 时 ， 从 上 往 下 开始 匹配 : 


(1) 与 第 1 条 规则 : 源 为 192.168.100.0/24， 源 不 匹配 。 

(2) 与 第 2 条 规则 : 源 地 址 为 任意 (0.0.0.0/0)， 匹 配 ， 目 的 地 址 为 69.147.0.0/24， 
69.147.83.199 在 范围 内 ， 匹 配 ， 源 端口 和 目的 端口 为 任意 ， 匹 配 ， 协 议 为 任意 (all)， 匹 配 ; 
规则 链 对 该 数据 包 的 动作 为 ACCEPT， 因 此 该 数据 包 通过 。 


如 果 数 据 包 的 源 地 址 为 10.0.0.35， 目 的 地 址 为 69.147.83.199， 协 议 为 TCP， 目 的 端口 为 
80， 那 么 该 数据 包 通 过 FORWARD 链 时 ， 从 上 往 下 开始 匹配 ， 第 4 条 规则 匹配 ， 动 作为 
mychain， 此 时 数据 包 会 被 转 到 用 户 自 己 定义 的 规则 链 mychain 进行 处 理 。 


3.5.3 iptables 配置 实例 


iptables 工具 支持 丰富 的 参数 ， 可 以 对 IP 和 端口 、 网 络 接口 、TCP 标志 位 或 MAC 地 址 进 
行 过 滤 ， 参 数 指定 方式 除 传统 方法 外 ， 可 以 支持 “!”“ALL” 或 “NONE” 等 进行 参数 匹配 。 
iptables 常用 参数 说 明 如 表 3.11 所 示 。 


表 3.11 iptables 命令 参数 含义 说 明 
参数 含义 
新 增 规则 到 某 个 规则 链 中 ， 该 规则 将 会 成 为 规则 链 中 的 最 后 一 条 规则 
| -D | 从 茶 个 规则 链 中 删除 一 条 规则 ， 可 以 输入 完整 规则 ， 或 直接 指定 规则 编号 加 以 删除 ”| 
| -| 替换 茶 行规 则 , 规则 被 楼 换 后 并 不 会 改变 顺序 | 
| + | 插入 一 条 规则 ， 原 本 该 位 置 上 的 规则 将 会 往 后 移动 一 个 顺 位 


定义 新 的 规则 链 


删除 某 个 规则 链 


X 
-P 定义 不 符合 规则 的 数据 包 的 默认 处 理 方式 
-E 修改 某 自 定义 规则 链 的 名 称 
Pp 
S 
d 


匹配 通信 协议 类 型 是 否 相符 ， 可 以 使 用 ! 运 算 符 进行 反 向 匹配 
匹配 数据 包 的 来 源 P， 可 以 匹配 单个 IP 或 菜 个 网 段 
匹配 数据 包 的 目的 地 IP， 设 定 方 式 同 上 


- 匹配 数据 包 是 从 哪个 网 络 接口 进入 ， 可 以 使 用 通 配 字符 + 指定 匹配 范围 

-0 匹配 数据 包 要 从 哪个 网 络 接口 发 出 ， 设 定 方式 同上 

--sport 匹配 数据 包 的 源 端口 ， 可 以 匹配 单一 端口 或 一 个 范围 

--dport 匹配 数据 包 的 目的 端口 号 ， 设 定 方式 同上 

--tcp-flags | 匹配 TCP 数据 包 的 状态 标志 ， 如 SYN、ACK、FIN 等 ， 另 外 可 使 用 ALL 和 NONE 进行 匹配 
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参数 含义 
| | 严 配 不 连续 的 多 个 源 端 [ 或 的 iD | 
-m 匹配 数据 包 来 源 网 络 接口 的 MAC 地 址 ， 不 能 用 于 OUTPUT 和 POSTROUTING 规则 链 
ACCEPT | 将 数据 包 放 行 ， 进 行 完 此 处 理 动作 后 ， 将 不 再 匹配 其 他 规则 ， 直 接 跳 往 下 一 个 规则 链 
REJECT 阻塞 数据 包 ， 并 传送 数据 包 通 知 对 方 
DROP 丢弃 数据 包 不 予 处 理 ， 进 行 完 此 处 理 动 作 后 ， 将 不 再 匹配 其 他 规则 ， 直 接 中 断 过滤 程 序 
REDIRECT | 将 数据 包 定向 另 一 个 端口 ， 进 行 完 此 处 理 动作 后 ， 将 会 继续 匹配 其 他 规则 


LOG 将 数据 包 相关 信息 记录 在 /varlog 中 


SNAT 改写 数据 包 来 源 人 P 为 某 特定 IP 或 人 Pp 范围 ， 可 以 指定 port 对 应 的 范围 ， 进 行 完 此 处 理 动作 
后 ， 将 直接 跳 往 下 一 个 规则 


DNAT 改写 数据 包 目 的 地 IP 为 某 特定 IP 或 他 范围 ,可 以 指定 port 对 应 的 范围 ， 进 行 完 此 处 理 动 
作 后 ， 将 会 直接 跳 往 下 一 个 规则 链 


结束 在 目前 规则 链 中 的 过 滤 程序 ， 返 回 主 规则 链 继续 过 滤 
数据 包 做 标记 ， 以 便 提供 作为 后 续 过 滤 的 条 件 判断 依据 ， 进 行 完 此 处 理 动作 后 ， 将 会 继续 
配 其 他 规则 


1. 简单 应 用 示例 


iptables 使 用 方法 首先 指定 规则 表 ， 然 后 指定 要 执行 的 命令 ， 接 着 指定 参数 匹配 数据 包 的 内 容 ， 
最 后 是 要 采取 的 动作 。 下 面 通过 一 些 示例 来 说 明 iptables 的 使 用 方法 ， 如 【示例 3-17】 所 示 。 


【示例 3-17】 


# 清 除 所 有 规则 

[root@CentOSs ~]# iptables -F 

# 清 除 nat 表 中 的 所 有 规则 

[root@CentOs ~]# iptables -t nat -F 

# 人 允许 来 自 192.168 .3.0/24 连接 sshd 服务 

[root@CentOs ~]# iptables -A INPUT -p tcp -s 192.168.3.0/24 --dport 22 -j 
ACCEPT 

# 其 他 任何 网 段 访问 不 能 访问 sshd 服务 


[root@CentOs ~]# iptables -A INPUT -p tcp  --dport 22 -j DROP 

在 上 述 示例 中 ，“-F” 表 示 清 除 已 存在 的 所 有 规则 ，“-A” 表 示 添 加 一 条 规则 ，“-p” 指 
定 协议 为 TCP，“-s” 指 定 源 地 址 段 ， 如 果 该 参数 忽略 或 为 0.0.0.0/0， 则 源 地 址 表示 任何 地 址 ， 
“-dport” 指 定 目的 端口 。 包 的 判断 顺序 为 首先 判断 第 1 条 规则 ， 由 于 允许 192.168.3.0/24 网 段 
的 服务 器 访问 sshd 服务 ， 因 此 包 可 以 通过 ; 如 果 是 其 他 来 源 的 主机 ， 由 于 第 1 条 规则 不 符合 
接着 判断 第 2 条 规则 ， 策 略为 禁止 ， 因 此 包 将 被 丢弃 。 

除 以 上 示例 外 ，iptables 可 以 为 每 个 链 指定 默认 规则 ， 如 果 包 不 符合 现存 的 所 有 规则 ， 就 
按 默 认 规则 处 理 ， 方 法 如 【示例 3-18】 所 示 。 
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【示例 3-18】 


由 于 设置 了 默认 规则 ， 该 示例 的 功能 同 示例 3-3。 


上 上面 所 列举 的 示例 仅仅 是 为 了 说 明 语法 和 原理 , 在 实际 使 用 中 , 还 需要 注意 规则 添加 的 上 顺 


序 ， 使 数据 包 通 过 的 规则 最 少 。 


基于 网 络 接口 的 过 滤 如 【示例 3-19】 所 示 。 
【示例 3-19】 


使 用 -i 参数 来 指定 数据 包 的 来 源 网 络 接口 ， 使 用 -o 来 指定 数据 包 将 从 哪个 网 络 接口 出 去 。 


本 局 在 INPUT 链 中 不 能 使 用 -o 选项 ，OUTPUT 链 中 不 能 使 用 -i 选项 。 


2. NAT 设置 


通常 网 络 中 的 数据 包 从 包 的 源 地 址 发 出 直到 包 要 发 送 的 目的 地 址 , 整个 路 径 经 过 很 多 不 同 
的 连接 ,一般 情况 下 这 些 连接 不 会 更 改 数 据 包 的 内 容 ， 只 是 原样 转发 。 如 果 发 出 数据 包 的 主机 
使 用 的 源 地 址 是 私 用 网 络 地 址 , 该 数据 包 将 不 能 在 互联 网 上 传输 。 要 能 够 使 用 私有 网 络 访问 互 
联网 ， 就 必须 做 NAT (Network Address Translation， 网 络 地 址 转换 )。 

NAT 分 为 两 种 不 同 的 类 型 : 源 NAT (SNAT) 和 目标 NAT (DNAT)。SNAT 通常 用 于 使 
用 了 私 网 地 址 的 局 域 网 络 ， 能 够 访问 互联 网 。DNAT 是 指 修改 包 的 目标 地 址 ， 端 口 转发 、 负 载 
均衡 和 透明 代理 都 属于 DNAT。 

在 SNAT 中 改变 源 地 址 ， 如 【示例 3-20】 所 示 。 


【示例 3-20】 
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画 如 果 做 SNAT 只 能 在 POSTROUTING 上 进行 ,而 做 DNAT 只 能 在 PREROUTING 内 进行 。 


3 .0 Linux 高 级 网 络 配置 工具 


目前 很 多 Linux 在 使 用 之 前 的 arp、ifconfig 和 route 命令 。 虽 然 这 些 工具 能 够 工作 ， 但 它 
们 在 Linux 2.2 和 更 高 版 本 的 内 核 上 显得 有 一 些 落伍 。 无 论 对 于 Linux 开发 者 还 是 Linux 系统 
管理 员 ， 网 络 程序 调试 时 数据 包 的 采集 和 分 析 是 不 可 少 的 。tcpdump 是 Linux 中 强大 的 数据 包 
采集 分 析 工 具 之 一 。 本 节 主 要 介绍 iproute2 和 tcpdump 的 相关 知识 。 


3.6.1 高 级 网 络 管理 工具 iproute2 


相对 于 系统 提供 的 arp、ifconfig 和 route 等 旧版 本 的 命令 ，iproute2 工具 包 提 供 了 更 丰富 
的 功能 ， 除 了 提供 网 络 参数 设置 、 路 由 设置 、 带 宽 控制 等 功能 ， 最 新 的 GRE 隧道 也 可 以 通过 
此 工具 进行 配置 。 

现在 大 多 数 Linux 发 行 版 本 都 安装 了 iproute2 软件 包 , 如 没有 安装 可 以 使 用 yum 工具 进行 
安装 。 应 该 注意 的 是 ，yum 工具 需要 联网 才能 使 用 。iproute2 工具 包 中 的 主要 管理 工具 为 ip 
命令 。 下 面 将 介绍 iproute2 工具 包 的 安装 与 使 用 。 安 装 过 程 如 【示例 3-21】 所 示 。 


【示例 3-21】 


ip 命令 的 语法 如 【示例 3-22】 所 示 。 
【示例 3-22】 
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1. 使 用 ip 命令 来 查看 网 络 配置 


ip 命令 是 iproute2 软件 的 命令 工具 ， 可 以 替代 ifconfig、route 等 命令 ， 查 看 网 络 配置 的 用 
法 如 【示例 3-23】 所 示 。 


【示例 3-23】 


上 面 的 命令 显示 了 机 器 上 所 有 的 地 址 ， 以 及 这 些 地 址 属于 哪些 网 络 接口 。“inet” 表 示 
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Internet (IPv4)。eth0 的 IP 地 址 与 192.168.3.88/24 相关 联 ，“/24” 指 IP 地 址 表示 网 络 地 址 的 位 
数 ，“1lo” 则 为 本 地 回路 信息 。 


2. 显示 路 由 信息 
如 需 查看 路 由 信息 ， 可 以 使 用 “ip route list” 命 令 ， 如 【示例 3-24】 所 示 。 
【示例 3-24】 


上 述 示例 首先 查看 系统 中 当前 的 路 由 情况 ， 其 功能 和 route 命令 类 似 。 
以 上 只 是 初步 介绍 了 iproute2 的 用 法 ， 更 多 信息 请 查看 系统 帮助 。 


3.6.2 ”网 络 数据 采集 与 分 析 工 具 tcpdump 


tcpdump 即 dump traffic on a network， 是 根据 使 用 者 的 定义 对 网 络 上 的 数据 包 进 行 截获 的 
包 分 析 工 具 。 无论 对 于 网 络 开发 者 还 是 系统 管理 员 , 数据 包 的 获取 与 分 析 都 是 最 重要 的 技术 之 
一 。 对 于 系统 管理 员 来 说 ， 在 网 络 性 能 急剧 下 降 的 时 候 ， 可 以 通过 tcpdump 工具 分 析 原因 ， 找 
出 造成 网 络 阻塞 的 来 源 。 对 于 程序 开发 者 来 说 ， 可 以 通过 tcpdump 工具 来 调试 程序 。tcpdump 
支持 针对 网 络 层 、 协 议 、 主 机 、 网 络 或 端口 的 过 滤 ， 并 提供 and、or、not 等 逻辑 语句 过 滤 不 
必要 的 信息 。 


荔 Linux 系统 下 tcpdump 普通 用 户 是 不 能 正常 执行 的 ， 一 般 通 过 root 用 户 执行 。 


tcpdump 采用 命令 行 方式 ， 命 令 格 式 如 下 ， 参 数 说 明 如 表 3.12 所 示 。 


表 3.12 tcpdump 命令 参数 含义 说 明 


-A 以 ASCII 码 方式 显示 每 一 个 数据 包 ， 在 程序 调试 时 可 方便 查看 数据 
-a 将 网 络 地 址 和 广播 地 址 转变 成 名 字 
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( 续 表 ) 
参数 ”含义 
| -。 | epaump 将 在 接收 到 指定 数目 的 数据 ti | 
- 将 匹配 信息 包 的 代码 以 人 们 能 够 理解 的 汇编 格式 给 出 
将 匹配 信息 包 的 代码 以 C 语言 程序 段 的 格式 给 出 
将 匹配 信息 包 的 代码 以 十 进 制 的 形式 给 出 
在 输出 行 打印 出 数据 链 路 层 的 头 部 信息 
将 外 部 的 Internet 地 址 以 数字 的 形式 打印 出 来 
使 用 文件 作为 过 滤 条 件 表达 式 的 输入 ， 此 时 命令 行 上 的 输入 将 被 忽略 
-i 指定 监听 的 网 络 接口 
| | ET 
| |e 成 s 字 | 
| -| 打印 很 少 的 协议 相关 信息 ， 输 出 行 都 比较 简短 | 
| 。 | 设置 pqump 的 数据 包 抓 取 改 度 ,， 如 果 不 设 轩 轩 认为 G8 守节 | 
EN ET 
| | 办 的 H 间 进 和 格外 理 。 | 


tcpdump 输出 时 , 每 两 行 打 印 之 间 会 延迟 一 个 时 间 段 ， 以 ms 为 单位 

| -tt | 在 每 行 打印 的 时 间 积 之 前 添加 日 期 的 r 印 | 
输出 一 个 稍微 详细 的 信息 ， 例 如 在 ip 包 中 可 以 包括 tl 和 服务 类 型 的 信息 
输出 详细 的 报 文 信息 
当 分 析 和 打印 时 ， tcpdump 会 打印 每 个 包 的 头 部 数据 , 同时 会 以 十 六 进 制 打印 出 每 个 包 的 数据 ， 
但 不 包括 连接 层 的 头 部 
tcpdump 会 打印 每 个 包 的 头 部 数据 ， 同 时 会 以 十 六 进 制 打印 出 每 个 包 的 数据 , 其 中 包括 数据 链 路 
层 的 头 部 
tcpdump 会 打印 每 个 包 的 头 部 数据 , 同时 会 以 十 六 进 制 和 ASCII 码 形式 打印 出 每 个 包 的 数据 ,但 
不 包括 连接 层 的 头 部 
tcpdump 会 打印 每 个 包 的 头 部 数据 ,同时 会 以 十 六 进 制 和 ASCII 码 形式 打印 出 每 个 包 的 数据 ,其 
中 包括 数据 链 路 层 的 头 部 


首先 确认 本 机 tcpdump 是 否 安装 ， 如 果 没 有 安装 ， 可 以 使 用 【示例 3-25】 中 的 方法 安 
装 。 
【示例 3-25】 


# 安 装 tcpdump 
[rooteCentOS Packages]# yum install -y tcpdump 
# 安 装 过 程 省 略 


tcpdump 最 简单 的 使 用 方法 如 【示例 3-26】 所 示 。 
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【示例 3-26】 


以 上 示例 演示 了 tcpdump 最 简单 的 使 用 方式 ， 如 不 跟 任何 参数 ，tcpdump 会 从 系统 接口 列 
表 中 搜寻 编号 最 小 的 已 配置 好 的 接口 ， 不 包括 loopback 接口 ， 一 旦 找到 第 1 个 符合 条 件 的 接 
口 ， 搜 寻 马 上 结束 ， 并 将 获取 的 数据 包 打 印 出 来 。 

tcpdump 利用 表达 式 作为 过 滤 数 据 包 的 条 件 ， 表 达 式 可 以 是 正则 表达 式 。 如 果 数 据 包 符合 
表达 式 ， 则 数据 包 被 截获 ， 如 果 没有 给 出 任何 条 件 ， 则 接口 上 所 有 的 信息 包 将 会 被 截获 。 

表达 式 中 一 般 有 如 下 几 种 关键 字 : 


(1) 第 1 种 是 关于 类 型 的 关键 字 ， 如 host、net 和 port。 例 如 host 192.168.16.150 指明 
192.168.16.150 为 一 台 主 机 ， 而 net 192.168.16.150 则 表示 192.168.16.150 为 一 个 网 络 地 址 。 如 
果 没 有 指定 类 型 ， 默 认 的 类 型 是 host。 

(2) 第 2 种 是 确定 数据 包 传输 方向 的 关键 字 ， 包 含 src、dst、dst or src 和 dst and src， 这 
些 关键 字 指 明了 数据 包 的 传输 方向 。 例 如 src 192.168.16.150 指明 数据 包 中 的 源 地 址 是 
192.168.16.150,， 而 dst 192.168.16.150 则 指明 数据 包 中 的 目的 地 址 是 192.168.16.150。 如 果 没 有 
指明 方向 关键 字 ， 则 默认 是 src or dst 关键 字 。 

(3) 第 3 种 是 协议 的 关键 字 ， 如 指明 是 TCP 还 是 UDP 协议 。 

除了 这 3 种 类 型 的 关键 字 之 外 ， 还 有 3 种 逻辑 运算 ， 非 运算 是 “not” 或 “!”， 与 运算 是 
“and” 或 “&&”， 或 运算 是 “or” 或 “||”。 通 过 这 些 关键 字 的 组 合 可 以 实现 复杂 强大 的 条 
件 。 接 下 来 看 一 个 组 合 ， 如 【示例 3-27】 所 示 。 


【示例 3-27】 
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以 上 tcpdump 表示 抓 取 发 往 本 机 3306 端口 的 请 求 。“-iany” 表 示 截 获 本 机 所 有 网 络 接口 
的 数据 报 “tcp” 表 示 TCP 协议 “dst ” host” 表示 数据 包 地址 为 192.168.19.101 “dst port” 
表示 目的 地 址 为 3306，“-XX” 表 示 同 时 会 以 十 六 进 制 和 ASCII 码 形式 打印 出 每 个 包 的 数据 ， 
“-s100” 表 示 设 置 tcpdump 的 数据 包 抓 取 长 度 为 100 个 字 节 ， 如 果 不 设置 默认 为 68 字 节 ， 
“-n” 表 示 不 对 地 址 〈 如 主机 地 址 或 端口 号 ) 进行 数字 表示 到 名 字 表 示 的 转换 。 输 出 部 分 
“16:08:05” 表 示 时 间 ， 然 后 是 发 起 请 求 的 源 IP 端口 、 目 的 卫 和 端口 ，“Flags[P.]” 是 TCP 
包 中 的 标志 信息 (S 是 SYN 标志 ，F 表示 FIN，P 表示 PUSH，R 表示 RST，“.” 表 示 没 有 标 
记 ， 详 细 说 明 可 进一步 参考 TCP 各 种 状态 之 间 的 转换 规则 )。 


了 ./ ”动态 主机 配置 协议 ( DHCP ) 


使 用 动态 主机 配置 协议 (Dynamic Host Configuration Protocol，DHCP) 可 以 避免 网 络 参数 
变化 后 一 些 烦琐 的 配置 ， 客 户 端 可 以 从 DHCP 服务 端 检索 相关 信息 并 完成 相关 网 络 配置 ， 在 
系统 重启 后 依然 可 以 工作 。DHCP 基于 C/S 模式 , 主要 用 于 大 型 网 络 。DHCP 提供 一 种 动态 指 
定 IP 地 址 和 相关 网 络 配置 参数 的 机 制 。 本 节 主 要 介绍 DHCP 的 工作 原理 及 DHCP 服务 端 与 
DHCP 客户 端的 部 署 过 程 。 


3.7.1 ”DHCP 的 工作 原理 


动态 主机 配置 协议 (DHCP) 是 用 来 自动 给 客户 端 分 配 TCP/IP 信息 的 网 络 协议 ， 如 卫 地 
址 、 网 关 、 子 网 掩 码 等 信息 。 每 个 DHCP 客户 端 通过 广播 连接 到 区 域内 的 DHCP 服务 器 ， 该 
服务 器 会 响应 请 求 ， 返 回 IP 地 址 、 网 关 和 其 他 网 络 配置 信息 。DHCP 的 请 求 过 程 如 图 3.4 所 
DHCPDISCOVER 


DHCP 服 务 端 


34 DHCP 请 求 过 程 
客户 端 请 求 IP 地 址 和 配置 参数 的 过 程 有 以 下 几 个 步骤 : 
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CT01 客户 端 需要 寻求 网 络 IP 地 址 和 其 他 网 络 参 数 ， 然 后 向 网 络 中 广播 ， 客 户 端 发 出 
的 请 求 名 称 叫 DHCPDISCOVER。 如 广播 网 络 中 有 可 以 分 配 IP 地 址 的 服务 器 ， 服 务 器 会 返回 
响应 应 答 ， 告 诉 客户 端 可 以 分 配 ， 服 务 器 返回 包 的 名 称 叫 DHCPOFFER， 包 内 包含 可 用 的 IP 
地 址 和 参数 。 

人 2 如 果 客户 在 发 出 DHCPOFFER 包 后 一 段 时 间 内 没有 接收 到 响应 ， 会 重新 发 送 请 
求 ， 如 广播 区 域内 有 多 于 一 台 的 DHCP 服 务 器 ， 由 客户 端 决定 使 用 哪个 。 

人 3 当 客户 端 选 定 了 某 个 目标 服务 器 后 ， 会 广播 DHCPREQUEST 包 ， 用 以 通知 选 定 
的 DHCP 服务 器 和 未 选 定 的 DHCP 服务 器 。 

FI04 服务 端 收 到 DHCPREQUEST 后 会 检查 收 到 的 包 ,， 如 果 包 内 的 地 址 和 所 提供 的 地 
址 一 致 ， 证 明 现 在 客户 端 接收 的 是 自己 提供 的 地 址 ; 如 果 不 是 , 就 说 明 自 己 提供 的 地 址 未 被 采 
纳 。 如 被 选 定 的 服务 器 在 接收 到 DHCPREQUEST 包 以 后 ， 因 为 某 些 原因 可 能 不 能 向 客户 端 提 
供 这 个 IP 地 址 或 参数 ， 可 以 向 客户 端 发 送 DHCPNAK 包 。 

《65 客户 端 在 收 到 包 后 ， 检 查 内 部 的 IP 地 址 和 租用 时 间 ， 如 果 发 现 有 问题 ， 就 发 包 
拒绝 这 个 地 址 ， 然 后 重新 发 送 DHCPDISCOVER 包 。 如 果 没 有 问题 ， 就 接受 这 个 配置 参数 。 


3.7.2 配置 DHCP 服务 器 
本 节 主 要 介绍 DHCP 服务 器 的 配置 过 程 ， 包 含 安装 、 配 置 文件 设置 、 服 务 器 启动 等 步骤 。 


1. 软件 安装 


DHCP 服务 依赖 的 软件 可 以 从 rpm 包 安装 或 从 源码 进行 安装 ， 本 节 以 yum 工具 为 例 说 明 
DHCP 服务 的 安装 过 程 ， 如 【示例 3-28】 所 示 。 


【示例 3-28】 


经 过 上 面 的 设置 ，DHCP 服务 已 经 安装 完毕 ， 主 要 的 文件 如 下 : 
e@ /etc/dhcp/dhcpd.conf: DHCP 主 配置 文件 。 
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e@ /usr/lib/systemd/system/dhcpd.service: DHCP 服务 单元 。 


2. 编辑 配置 文件 /etc/dhcp/dhcpd.conf 


要 配置 DHCP 服务 器 ， 需 修改 配置 文件 /etc/dhcp/dhcpd.conf。 如 果 不 存在 就 创建 该 文件 。 
本 示例 实现 的 功能 为 当前 网 络 内 的 服务 器 分 配 指定 卫 段 的 卫 地 址 ， 并 设置 过 期 时 间 为 2 天 。 
配置 文件 如 【示例 3-29】 所 示 。 


【示例 3-29】 


以 上 示例 文件 列 出 了 一 个 子 网 的 声明 ， 包 括 routers 默认 网 关 、subnet-mask 默认 子 网 掩 码 
和 max-lease-time 最 大 租用 周期 ， 单 位 是 秒 。 需 要 特别 说 明 的 是 ， 在 本 地 需 有 一 个 网 络 接口 的 
IP 地 址 为 192.168.19.0 网 络 ，DHCP 服务 才能 启动 。 

配置 文件 的 更 多 选项 可 以 使 用 命令 “man dhcpd.conf” 获 取 更 多 帮助 信息 。 


【示例 3-30】 


如 启动 失败 可 以 参考 屏幕 输出 定位 错误 内 容 ， 或 查看 /var/log/messages 的 内 容 ， 然 后 参考 
dhcpd.conf 的 帮助 文档 。 


3.7.3 ”配置 DHCP 客户 端 


当 服 务 端 启动 成 功 后 ， 客 户 端 需要 与 服务 端 网 络 联通 ， 然 后 做 以 下 配置 以 便 自 动 获取 IP 
地 址 。 客 户 端 网 卡 配置 如 【示例 3-31】 所 示 。 


【示例 3-31】 
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如 需 使 用 DHCP 服务 ， BOOTPROTO=dhcp 表示 将 当前 主机 的 网 络 IP 地 址 设置 为 自动 获 
取 方 式 。 需 要 说 明 的 是 DHCP 客户 端 无 须 使 用 CentOS 7.5， 使 用 其 他 版 本 的 Linux 或 Windows 
操作 系统 均 可 ， 在 本 例 中 使 用 的 是 CentOS 6 作为 客户 端 。 测 试 过 程 如 【示例 3-32】 所 示 。 


【示例 3-32】 


客户 端 配 置 为 自动 获取 IP 地 址 ， 然 后 重启 网 络 接 口 ， 启 动 成 功 后 使 用 ifconfig 查看 成 功 
获取 到 IP 地 址 。 


本 节 介绍 了 DHCP 的 基本 功能 ， 如 需 了 解 DHCP 其 他 更 多 的 功能 ， 可 参考 DHCP 的 帮助 
文档 或 其 他 资料 。 


3 8 Linux 域名 服务 DNS 


如 今 互联 网 应 用 越 来 越 丰 富 ， 仅 仅 用 IP 地 址 标识 网 络 上 的 计算 机 是 不 可 能 完成 任务 的 ， 
而 且 也 没有 必要 , 于 是 产生 了 域名 系统 。 域名 系统 通过 一 系列 有 意义 的 名 称 标识 网 络 上 的 计算 
机 , 用 户 按 域 名 请 求 某 个 网 络 服务 时 , 域名 系统 负责 将 其 解析 为 对 应 的 IP 地 址 , 这 便 是 DNS。 
本 节 将 详细 介绍 有 关 DNS 的 一 些 知 识 。 


3.8.1 DNS 简介 


目前 提供 网 络 服务 的 应 用 使 用 唯一 的 32 位 的 IP 地 址 来 标识 , 但 由 于 数字 比较 复杂 、 难 以 
记忆 ,因此 产生 了 域名 系统 。 通 过 域名 系统 ， 可 以 使 用 易于 理解 和 形象 的 字符 串 名 称 来 标识 网 
络 应 用 。 访 问 互联 网 应 用 可 以 使 用 域名 ， 也 可 以 通过 IP 地 址 直接 访问 该 应 用 。 在 使 用 域名 访 
问 网 络 应 用 时 ，DNS 负责 将 其 解析 为 IP 地 址 。 
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DNS 是 一 个 分 布 式 数据 库 系统 ， 扩 充 性 好 ， 由 于 是 分 布 式 的 存储 ， 数 据 量 的 增长 并 不 会 
影响 其 性 能 。 新 加 入 的 网 络 应 用 可 以 由 DNS 负责 将 新 主机 的 信息 传播 到 网 络 中 的 其 他 部 分 。 

域名 查询 有 两 种 常用 的 方式 : 递归 查询 和 人 迭代 查询 。 

递归 查询 由 最 初 的 域名 服务 器 代 蔡 客户 端 进行 域名 查询 。 若 该 域名 服务 器 不 能 直接 回答 ， 
则 会 在 域 中 各 分 支 的 上 下 进行 递 轨 查询 , 最 终 将 返回 查询 结果 给 客户 端 , 在 域名 服务 器 查询 期 
间 ， 客 户 端 将 完全 处 于 等 待 状态 。 

迭代 查询 每 次 由 客户 端 发 起 请 求 , 若 请 求 的 域名 服务 器 能 提供 需要 查询 的 信息 则 返回 主机 
地 址 信息 。 若 不 能 提供 ， 则 引导 客户 端 到 其 他 域名 服务 器 查询 。 

以 上 两 种 方式 类 似 需 要 寻找 东西 的 过 程 , 一 种 是 找 个 人 蔡 自 己 寻 找 , 另外 一 种 是 自己 完成 ， 
首先 到 一 个 地 方 寻 找 ， 若 没有 则 向 另外 一 个 地 方 寻 找 。 

DNS 域名 服务 器 的 分 类 有 高 速 缓存 服务 器 、 主 DNS 服务 器 和 辅助 DNS 服务 器 。 高 速 组 
存 服务 器 将 每 次 域名 查询 的 结果 缓存 到 本 机 ， 主 DNS 服务 器 则 提供 特定 域 的 权威 信息 ， 是 可 
信赖 的 ， 辅 助 DNS 服务 器 信息 则 来 源 于 主 DNS 服务 器 。 


3.8.2 ”DNS 服务 器 配置 


目前 网 络 上 的 域名 服务 系统 使 用 最 多 的 为 BIND (Berkeley Internet Name Domain ) 软件， 
该 软件 实现 了 DNS 协议 。 本 节 主 要 介绍 DNS 服务 器 的 配置 过 程 ， 包 含 安装 、 配 置 文件 设置 、 
服务 器 启动 等 步骤 。 


1. 软件 安装 


DNS 服务 依赖 的 软件 可 以 从 rpm 包 安 装 或 从 源码 进行 安装 ,本 节 以 rpm 包 为 例 说 明 DNS 
服务 的 安装 过 程 ， 如 【示例 3-33】 所 示 。 


【示例 3-33】 


经 过 上 面 的 设置 ，DNS 服务 已 经 安装 完毕 ， 主 要 的 文件 如 下 : 
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e /etc/named.conf: DNS 主 配 置 文件 。 
e@ /usr/lib/systemd/system/named.service: DNS 服务 控制 单元 。 


2. 编辑 配置 文件 /etc/named.conf 


要 配置 DNS 服务 器 ， 需 修改 配置 文件 /etc/named.conf。 如 果 不 存在 就 创建 该 文件 。 

本 示例 实现 的 功能 是 搭建 一 个 域名 服务 器 ns.oa.com， 位 于 192.168.19.101， 其 他 主机 可 以 
通过 该 域名 服务 器 解析 已 经 注册 的 以 “oa.com” 结 尾 的 域名 。 配 置 文件 如 【示例 3-34】 所 示 ， 
如 需 添 加 注释 ， 可 以 使 用 以 “#”“/”“; ”开头 的 行 或 使 用 “/* */” 包 含 。 


【示例 3-34】 
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运 维 必 备 的 网 络 管理 技能 


name.conf 配置 文件 中 的 配置 项 非常 多 ， 以 下 为 主要 的 配置 项 说 明 : 


e@ options: 全 局 服务 器 的 配置 选项 ， 即 在 options 中 指定 的 参数 ， 对 配置 中 的 任何 域 都 有 
效 ， 若 在 服务 器 上 要 配置 多 个 域 ， 如 testl.com 和 test2.com， 则 在 option 中 指定 的 选项 
对 这 些 域 都 生效 。 

。 listen-on port: DNS 服务 实际 是 一 个 监听 在 本 机 53 端口 的 TCP 服务 程序 。 该 选项 用 于 
指定 域名 服务 监听 的 网 络 接 口 ， 如 监听 在 本 机 IP 或 127.0.0.1 上 。 此 处 “any” 表 示 接 
收 所 有 主机 的 连接 。 

e directory: 指定 named 从 /var/named 目录 下 读 取 DNS 数据 文件 ， 这 个 目录 用 户 可 自行 
指定 并 创建 ， 指 定 后 所 有 的 DNS 数据 文件 都 存放 在 此 目录 下 ,注意 此 目录 下 的 文件 所 
属 的 组 应 为 named， 否 则 域名 服务 无 法 读 取 数 据 文件 。 

e dump-file: 当 执 行 导出 命令 时 将 DNS 服务 器 的 缓存 数据 存储 到 指定 的 文件 中 。 

@ statistics-file: 指定 named 服务 的 统计 文件 。 当 执行 统计 命令 时 ， 会 将 内 存 中 的 统计 信 
息 追 加 到 该 文件 中 。 

e@ allow-query: 允许 哪些 客户 端 可 以 访问 DNS 服务 ， 此 处 “any” 表 示 任意 主机 。 

ee zone: 每 一 个 zone 就 是 定义 一 个 域 的 相关 信息 及 指定 了 named 服务 从 哪些 文件 中 获得 
DNS 各 个 域名 的 数据 文件 。 


3. 编辑 DNS 数据 文件 varnamed/oa.com.zone 


该 文件 为 DNS 数据 文件 ， 可 以 配置 每 个 域名 指向 的 实际 IP， 此 文件 可 通过 复制 目录 
/var/named 中 的 named.localhost 获得 模板 。 文 件 配置 内 容 如 【示例 3-35】 所 示 。 


【示例 3-35】 
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下 面 说 明 各 个 参数 的 含义 : 


e TTL: 表示 域名 缓存 周期 字段 ， 指 定 该 资源 文件 中 的 信息 存放 在 DNS 缓存 服务 器 的 时 
间 ， 此 处 设置 为 3600 秒 表示 超过 3600 秒 则 DNS 缓存 服务 器 重新 获取 该 域名 的 信息 。 

。 @: 表示 本 域 ，SOA 描述 了 一 个 授权 区 域 ， 如 有 oa.com 的 域名 请 求 将 到 ns.oa.com 域 
查找 。root 表示 接收 信息 的 邮箱 ， 此 处 为 本 地 的 root 用 户 。 

e@ serial: 表示 该 区 域 文 件 的 版 本 号 。 当 区 域 文件 中 的 数据 改变 时 ， 这 个 数值 将 要 改变 。 从 

服务 器 在 一 定时 间 以 后 请 求 主 服务 器 的 SOA 记录 并 将 该 序列 号 值 与 缓存 中 的 SOA 记录 

的 序列 号 相 比 较 ， 如 果 数 值 改 变 了 ， 从 服务 器 将 重新 拉 取 主 服务 器 的 数据 信息 。 

refresh: 指定 了 从 域名 服务 器 将 要 检查 主 域名 服务 器 的 SOA 记录 的 时 间 间 隔 ， 单 位 为 

秒 。 

@ retry: 指定 了 从 域名 服务 器 的 一 个 请 求 或 一 个 区 域 刷新 失败 后 ， 从 服务 器 重新 与 主 服 

务 器 联系 的 时 间 间 隔 ， 单 位 是 秒 。 

expire: 在 指定 的 时 间 内 ， 如 果 从 服务 器 还 不 能 联系 到 主 服务 器 ， 从 服务 器 将 丢 去 所 有 

的 区 域 数据 。 

e Minimum: 如 果 没 有 明确 指定 TTL 的 值 ， 则 minimum 表示 域名 默认 的 缓存 周期 。 

8 A: 表示 主机 记录 ， 用 于 将 一 个 主机 名 与 一 个 或 一 组 IP 地 址 相对 应 。 

e@ NS: 一 条 NS 记录 指向 一 个 给 定 区 域 的 主 域名 服务 器 ， 以 及 包含 该 服务 器 主机 名 的 资 

源 记 录 。 

CNAME: 用 来 将 一 个 域名 和 该 域名 的 别名 相关 联 , 访问 域名 的 别名 和 访问 域名 的 原始 

名 字 将 解析 到 同样 的 主机 地 址 。 


第 9~11 行 分 别 定义 了 相关 域名 指向 的 IP 地 址 。 


卫 | 默认 权限 可 能 会 阻止 bind 访问 oa.com.zone 文件 ， 因 由 root 用 户 使 用 命令 chgrp named 
人 oa.com.zone 修改 文件 所 属 的 用 户 组 。 


4. 启动 域名 服务 
启动 域名 服务 可 以 使 用 BIND 软件 提供 的 /etc/init.d/named 脚本 ， 如 【示例 3-36】 所 示 。 
【示例 3-36】 


如 启动 失败 ， 可 以 参考 屏幕 输出 定位 错误 内 容 ， 或 查看 /var/log/messages 的 内 容 ， 更 多 信 
息 参 考 系统 帮助 “man named.conf”。 
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3.8.3 DNS 服务 测试 


经 过 上 一 节 的 步骤 ，DNS 服务 端 已 经 部 署 完 毕 ， 客 户 端 需要 做 一 定 设置 才能 访问 域名 服 
务 器 ， 操 作 步 骤 如 下 。 


人 OOi 配置 /etc/resolv.conf, 


如 需 正 确 地 解析 域名 ， 客 户 端 需要 设置 DNS 服务 器 地 址 。DNS 服务 器 地 址 修改 如 【示例 
3-37】 所 示 。 


【示例 3-37】 


C302 域名 测试 
域名 测试 可 以 使 用 ping、nslookup 或 dig 命令 。 
【示例 3-38】 


上 述 示例 说 明了 bbs.oa.com 成 功 解析 到 192.168.19.102。 
经 过 以 上 的 部 署 和 测试 演示 了 DNS 域名 系统 的 初步 功能 ， 要 了 解 更 进一步 的 信息 可 参考 
系统 帮助 或 其 他 资料 。 


3.9 / 造 


目前 Linux 系统 主要 用 作 服 务 器 ,在 互联 网 时 代 , 要 使 用 计算 机 就 离 不 开 网 络 。 本 章 主要 
讲解 的 是 Linux 系统 的 网 络 配 置 。 在 开始 配置 网 络 之 前 , 介绍 了 一 些 网 络 协议 和 概念 。 之 后 介 
绍 Linux 系统 中 的 网 络 配置 、Linux 内 核 防火 墙 的 工作 原理 和 使 用 方法 ， 并 通过 一 些 实例 的 介 
绍 使 读者 可 以 掌握 firewalld 和 iptables 的 使 用 方法 。 网 络 数据 采集 与 分 析 工具 tcpdump 在 网 络 
程序 的 调试 过 程 中 具有 非常 重要 的 作用 ， 需 上 机 多 加 练习 。 


对 于 Linux 系统 而 言 网 络 至 关 重 要 ， 这 是 因为 大 多 数 Linux 服务 器 都 依赖 于 网 络 。 而 数据 
包 在 网 络 中 从 主机 出 发 , 经 过 传输 、 转 发 最 终 到 达 目 标 主机 所 依赖 的 是 网 络 中 的 路 由 器 。 路 由 
器 是 根据 路 由 条 目 转发 数据 包 , 因此 路 由 管理 的 实质 是 路 由 条 目 管理 。 路 由 管理 是 运 维 人 员 的 
重要 工作 之 一 ， 本 章 将 介绍 Linux 系统 中 的 路 由 管理 。 

本 章 涉及 的 主要 知识 点 有 : 


路 由 的 基本 知识 
路 由 的 分 类 
配置 Linux 路 由 
策略 路 由 


4 .| 认识 路 由 


路 由 不 仅 存 在 于 路 由 器 中 , 也 存在 于 操作 系统 中 , 不 仅 Linux 系统 有 , Windows 中 也 存在 。 
本 节 将 简单 介绍 路 由 的 概念 。 


4.1.1 路 由 的 基本 概念 


路 由 器 传递 数据 包 的 方法 与 现代 邮政 系统 工作 机 制 相似 , 先 按 行政 区 域 划分 设立 邮局 。 如 
果 信件 传递 仅 发 生 在 邮局 内 部 , 直接 分 拒 投 递 即 可 , 例如 北京 市 东城 区 某 小 区 发 往 东 城区 另 一 
小 区 的 信件 ,只 需 在 东城 区 邮政 局 分 拣 投 递 即 可 。 如 果 信 件 发 往外 埠 则 需要 借助 邮政 局 间 的 运 
输 网 络 , 例如 由 北京 市 东城 区 发 往 四 川 省 成 都 市 成 华 区 的 邮件 , 则 需要 东城 区 邮政 局 将 邮件 交 
由 北京 市 邮政 局 , 再 由 北京 市 邮政 局 通过 运输 网 络 发 往 四 川 省 , 然后 层 层 下 发 直到 邮件 到 达 收 
作 大 所 中 5 

数据 包 的 传递 过 程 与 邮政 系统 类 似 , 也 是 先 将 计算 机 分 组 划分 成 不 同 子 网 , 然后 通过 子 网 
间 的 路 由 器 传递 数据 包 ， 如 图 4.1 所 示 。 


192.168.1.1 192.1682.1 
交换 机 SS E SS G Ne 世 
人 192.168.0 ”192.168.1 
MAGR aps 1P:192.168.2.2 
RL "Ce 
IP:192.168.02 MAC: C 
MAC: A 
PC2 
IP:192.168.0.3 
MAC: B 
图 4.1 子 网 拓扑 


在 图 4.1 中 共有 2 个 交换 机 、 路 由 器 及 3 台 计 算 机 , 共 包含 192.168.0.0/24、192.168.1.0/24、 
192.168.2.0/24 3 个 子 网 ， 本 例 中 各 设置 的 IP 地 址 等 信息 均 已 在 图 中 。 需要 特别 说 明 的 是 图 4.1 
中 所 示 的 MAC 地 址 正确 格式 应 为 “00-51-5B-C0-00-08” 或 “00:51:5B:C0:00:08”， 此 处 为 方 
便 说 明 简 写 为 A、B、C 等 格式 。 

与 邮政 系统 类 似 ， 当 数据 包 发 送 的 目标 地 址 为 同一 子 网 时 , 数据 包 由 交换 机 直接 传送 给 目 
标 主机 。 例 如 ， 当 PC1 发 送 数据 包 给 PC2 时 ，PC1 会 首先 发 送 ARP 广播 寻找 PC2 的 MAC 地 
址 ，ARP 广播 会 发 送 给 子 网 192.168.0.0/24 中 的 所 有 计算 机 。 图 4.1 中 所 示 的 PC2 和 IP 地 址 
为 192.168.0.1 的 路 由 器 接口 均 会 收 到 广播 ， 但 只 有 PC2 会 回应 PC1 的 广播 并 将 其 MAC 地 址 
反馈 给 PC1。 当 PC1 收 到 PC2 的 MAC 地 址 后 ,将 目的 全、MAC 地 址 正确 写 入 数据 包 ， 然 后 
交 由 交换 机 发 送 给 PC2， 数 据 包 传 输 过 程 完 成 了 。 

另 一 种 情况 是 PC1 发 送 的 数据 包 目 的 地 址 与 PC1 不 在 同一 子 网 时 ， 这 时 就 与 邮政 系统 类 
似 , PC1 会 将 数据 包 交 给 自己 的 “上 级 ”默认 网 关 。 例如, 在 图 4.1 中 PC1 发 送 数据 包 给 PC3， 
数据 包 发 送 过 程 如 下 : 

(1) 由 于 PC1 与 PC3 的 地 址 不 在 同一 子 网 , 因此 PC1 会 将 数据 包 的 MAC 地 址 修改 为 D 
发 送出 去 ， 交 换 机 会 将 数据 包 交 给 192.168.0.1， 即 路 由 器 。 

(2) 与 路 由 器 相连 的 网 络 分 别 为 192.168.0.0/24 和 192.168.1.0/24， 因 此 路 由 器 并 不 知道 
网 络 192.168.2.0/24 位 于 何 处 ， 此 时 就 需要 借助 路 由 条 目的 帮助 。 为 了 能 将 数据 包 成 功 发 往 
PC3， 路 由 器 中 就 需要 一 条 指向 192.168.2.0/24 的 路 由 条 目 ， 这 个 条 目 指明 数据 包 的 下 一 跳 地 
址 为 192.168.1.2。 

(3) 根据 路 由 条 目 指示 ， 路 由 器 会 将 数据 包 目 的 MAC 地 址 修改 为 F， 将 数据 包 发 送 给 
路 由 器 2。 

(4) 路 由 器 2 与 192.168.2.0/24 直接 相 联 ， 因 此 收 到 数据 包 后 ， 路 由 器 2 会 将 目的 MAC 
修改 为 C 发 送 给 交换 机 ， 交 换 机 再 将 数据 包 交 给 PC3， 数 据 包 传输 完成 。 


纵 观 上 述 过 程 ， 无 论 是 数据 包 发 送 给 默认 网 关 ， 还 是 由 一 个 路 由 器 发 送 给 另 一 个 路 由 器 ， 
都 离 不 开路 由 的 参与 。 
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4.1.2 ”路 由 的 原理 


在 4.1.1 节 中 介绍 了 路 由 的 基本 作用 ， 但 路 由 运作 的 机 制 比较 复杂 ， 本 小 节 将 简要 介绍 路 
由 的 基本 原理 。 

一 个 路 由 条 目 至 少 包含 3 个 要 素 : 子 网 , 子 网 掩 码 和 下 一 跳 地 址 (在 有 些 设 备 中 使 用 的 是 
下 一 跳 设 备 )， 其 主要 含义 如 下 : 


@ 子 网 : 目标 子 网 的 网 络 号 ， 默认 路 由 的 子 网 号 为 0.0.0.0。 

@ 子 网 掩 码 : 目标 子 网 的 子 网 掩 码 ， 默 认 路 由 的 子 网 掩 码 为 0.0.0.0。 

e@ 下 一 跳 地 址 : 目标 子 网 数据 包 的 转发 地 址 。 在 有 些 路 由 器 中 可 以 使 用 下 一 跳 设备 ， 设 
备 通常 是 本 地 接口 。 


通常 计算 机 中 会 有 多 条 路 由 条 目 ， 计 算 机 发 出 数据 包 时 会 进行 计算 ， 将 目标 IP 地 址 与 路 
由 条 目 中 的 子 网 掩 码 按 位 与 ， 即 二 进 制 按 位 做 乘法 。 如 果 按 位 与 的 结果 与 路 由 条 目的 子 网 相 
同 ， 就 采用 此 路 由 条 目的 下 一 跳 地 址 作为 转发 目的 地 。 例 如 在 图 4.1 中 ， 路 由 器 发 往 PC3 的 数 
据 包 地 址 为 192.168.2.2， 与 192.168.2.0/24 网 络 的 子 网 掩 码 按 位 与 的 结果 为 192.168.2.0， 与 子 
网 相同 ， 因 此 就 会 将 数据 包 转 发 给 192.168.1.2。 

无 论 是 计算 机 还 是 路 由 器 , 在 计算 路 由 时 都 遵循 精确 匹配 原则 , 即 如 果 多 条 路 由 条 目 都 匹 
配 目标 地 址 ， 则 使 用 最 精确 的 条 目 作 为 转发 路 径 。 例 如 IP 地 址 192.168.2.2 能 同时 匹配 
192.168.0.0/16 和 192.168.2.0/24， 但 基于 精确 匹配 原则 ， 最 终 将 使 用 192.168.2.0/24 这 条 路 由 
条 目 。 


4.1.3 ”Linux 系统 中 的 路 由 表 


在 计算 机 中 通常 不 止 一 个 路 由 条 目 ,能 正常 通信 的 计算 机 至 少 有 两 个 路 由 条 目 ， 而 路 由 器 
中 的 路 由 条 目 可 能 会 更 多 。 这 些 路 由 条 目 存 储 于 路 由 表 中 , 如 果 要 在 Linux 系统 中 查看 路 由 表 ， 
可 以 使 用 route 命令 ， 如 【示例 4-1】 所 示 。 


【示例 4-1】 


在 示例 4-1 中 ,命令 输出 了 两 个 路 由 条 目 ， 第 一 条 是 指向 默认 网 关 的 默认 路 由 ， 第 二 条 是 
与 计算 机 直接 相连 的 子 网 路 由 。 命令 输出 中 Flags 字段 中 的 U 表示 路 由 条 目 可 用 ，G 表示 正在 
使 用 的 网 关 。 
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4.1.4 静态 路 由 和 动态 路 由 


在 4.1.1 小 节 中 介绍 了 数据 包 如 何 从 PC1 发 送 到 PC3 的 整个 过 程 ， 当 数据 包 到 达 


192.168.0.1 后 ， 路 由 器 将 会 计算 下 一 步 的 路 径 ， 其 依据 就 是 路 由 器 中 保存 的 路 由 条 
将 介绍 这 些 路 由 条 目的 来 源 及 分 类 。 


目 。 本 小 节 


路 由 的 来 源 有 三 种 ， 第 一 种 是 路 由 器 和 计算 机 根据 自身 的 网 络 连接 自动 生成 的 直 联 路 由 ， 
即 与 自身 所 在 同一 子 网 的 路 由 , 只 要 网 络 持 续 连 接 直 联 路 由 就 会 一 直 存 在 并 生效 ; 第 二 种 是 由 
管理 员 手 动 添加 的 静态 路 由 ,静态 路 由 仅 适 合 于 网 络 运作 简单 的 环境 ，Linux 系统 中 添加 的 路 


由 多 为 静态 路 由 ; 最 后 一 种 是 由 动态 路 由 协议 生成 的 动态 路 由 。 


静态 路 由 的 缺点 很 明显 ， 当 路 由 器 数量 增加 时 ， 子 网 数量 也 增多 ， 这 时 就 需要 在 每 个 路 由 
器 上 为 每 个 子 网 添加 路 由 , 否则 就 会 出 现 无 法 访问 的 问题 。 如 果 其 中 一 台 路 由 器 出 现 问 题 , 路 


由 条 目 就 会 失效 ， 也 会 造成 无 法 访问 的 问题 。 


为 了 解决 静态 路 由 的 这 些 问 题 , 动态 路 由 协议 应 运 而 生 。 动态 路 由 协议 会 根据 网 络 状况 调 
整 各 路 由 器 的 路 由 条 目 , 最 大 程度 上 保持 网 络 通畅 。 常见 的 动态 路 由 协议 有 RIP、OSPF、BGP、 


IGRP 等 。 


(1) RIP (Routing Information Protocol， 路 由 信息 协议 ) 是 最 简单 的 路 由 协议 ，RIP 协议 
要 求 路 由 器 以 30 秒 为 周期 ， 向 相 邻 的 路 由 器 交换 信息 ， 从 而 让 每 个 路 由 器 都 建立 路 由 表 。RIP 
建立 的 路 由 表 以 距离 为 单位 , 通过 一 个 路 由 器 称 为 一 跳 ， RIP 总 是 希望 数据 包 通 过 最 少 的 跳 数 
到 达 目 的 地 。RIP 最 大 的 优点 是 配置 简单 ， 但 仅 适用 于 小 型 网 络 ， 如 果 跳 数 超过 15， 数 据 包 
将 不 可 达 。 由 于 路 由 器 每 30 秒 向 相 邻 路 由 器 交换 信息 , 因此 RIP 协议 的 收敛 时 间 相对 较 长 ( 收 
敛 时 间 是 指 路 由 协议 让 每 个 路 由 器 建立 精确 并 稳定 的 路 由 表 的 时 间 长 度 , 时 间 越 长 , 网 络 发 生 


变化 后 ， 路 由 表 生 成 得 越 慢 ， 网 络 稳定 需要 的 时 间 也 越 长 )。 


(2) OSPF (Open Shortest Path First， 开 放 最 短路 径 优先 ) 是 一 个 相对 比较 复杂 的 动态 路 
由 协议 。OSPF 一 般 用 于 一 个 路 由 域内 ， 称 为 自治 系统 (Autonomous System)。 在 这 个 自治 系 
统 内 部 , 所 有 加 入 到 OSPF 的 路 由 器 都 会 通过 路 由 协议 相互 交换 信息 ,以 维护 自治 系统 的 结构 
数据 库 ， 最 后 路 由 器 会 通过 数据 库 计 算出 OSPF 路 由 表 。 与 RIP 相 比 ，OSPF 协议 根据 链 路 状 


态 计算 路 由 表 ， 更 适合 于 大 型 网 络 ， 其 收敛 速 度 也 更 快 。 


(3) BGP (Border Gateway Protocol， 边 界 网 关 协 议 ) 是 一 个 用 来 处 理 自 治 系统 之 间 的 路 
由 关系 的 路 由 协议 ， 最 适合 处 理 像 Internet 这 样 十 分 巨大 的 网 络 。BGP 既 不 完全 是 距离 矢量 协 
议 ， 也 不 完全 像 OSPF 那样 使 用 链 路 状态 ，BGP 使 用 的 是 通路 向 量 路 由 协议 。BGP 使 用 TCP 
协议 进行 可 靠 的 传输 ， 同 时 还 使 用 了 路 由 汇聚 、 增 量 更 新 等 功能 ， 极 大 地 增加 了 网 络 可 靠 性 和 


(4) IGRP (Interior Gateway Routing Protocol， 内 部 网 关 路 由 协议 ) 是 由 Cisco 公司 设计 
的 专用 于 Cisco 设备 上 的 一 种 路 由 协议 。IGRP 是 一 种 距离 向 量 路 由 协议 ， 其 要 求 路 由 器 以 90 
秒 为 周期 向 相 邻 的 路 由 器 发 送 路 由 表 的 全 部 或 部 分 ,由 此 区 域内 的 所 有 路 由 器 都 可 以 计算 出 所 


有 网 络 的 距离 。 由 于 使 用 网 络 延迟 、 带 宽 、 可 靠 性 及 负载 等 都 被 用 作 路 由 选择 ， 因 


稳定 性 相当 不 错 。 


此 IGRP 的 
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动态 路 由 协议 除了 上 面 介绍 的 4 种 之 外 ， 还 有 许多 例如 IS-IS 等 ， 此 处 不 再 袭 述 ， 感 兴 
的 读者 可 自行 参考 相关 资料 了 解 。 


4 .7 配置 Linux 静态 路 由 


与 其 他 操作 系统 不 同 ，Linux 系统 作为 常见 的 服务 器 操作 系统 ， 其 可 能 会 遇 到 更 多 样 的 网 
络 环境 。 除 了 常见 服务 器 使 用 的 Internet 网 络 连接 外 ， 通 常 还 会 有 公司 内 部 网 络 、 远 程 访问 相 
关 的 网 络 等 ， 此 时 就 需要 正确 设置 路 由 ， 否 则 无 法 正确 访问 。 本 节 将 简要 介绍 如 何在 Linux 
系统 中 设置 静态 路 由 。 


4.2.1 配置 网 络 接口 地 址 


设置 静态 路 由 的 前 提 是 网 络 接口 上 配置 有 IP 地 址 等 信息 ， 否 则 路 由 条 目 无 法 生效 。 在 网 
络 接口 上 配置 单个 IP 地 址 的 相关 知识 已 在 第 3 章 中 介绍 过 ， 此 处 介绍 如 何在 同一 接口 上 配置 
多 个 IP 地 址 的 方法 。 


(1) 使 用 子 接口 

使 用 子 接口 在 网 络 接口 上 配置 多 个 IP 地 址 是 一 个 比较 常见 的 做 法 ， 子 接口 名 字形 如 
eno16777736:1， 其 中 eno16777736 是 网 络 接口 的 名 称 ,“:1” 表 示 这 是 一 个 子 接口 。 配 置 过 程 
如 【示例 4-2】 所 示 。 


【示例 4-2】 


使 用 以 上 命令 配置 的 子 接口 将 在 重启 后 消失 若 要 重启 后 继续 生效 则 需要 将 上 述 命令 写 入 
文件 /etc/ec.local 中 。 


(2) 使 用 多 配置 
CentOS 7.5 允许 在 一 个 网 络 接口 上 配置 多 个 不 同 卫 地 址 、 子 网 掩 码 、 网 关 和 DNS 服务 器 
地 址 等 ， 但 同时 只 能 激活 一 个 配置 。 多 配置 在 图 形 界面 中 可 以 单 击 “Applications”， 然 后 在 弹 
出 的 菜 中 依次 单 击 “System tools” 一 “Settings”， 打 开设 置 界 面 ， 如 图 4.2 所 示 。 
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Touchpad 
(从 A 
Sound Wacom Tablet 


Universal 
Access 


电 
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42 设置 界面 


在 设置 界面 中 可 以 找到 CentOS 7.5 中 几乎 所 有 的 常规 设置 ， 此 时 单 击 “Network” 弹 出 网 


络 设置 界面 ， 如 图 4.3 所 示 。 


| 
Airplane Mode [ 山 


网 Unknown 


久 Network proxy 


i ~ 1000 Mb/s 
IPv4 Address 172.16.45.16 
IPv6 Address fe80::20c:29ff:fe23:7cd2 

Hardware Address 00:0C:29:23:7C:D2 
Default Route 172.16.45.1 

DNS 172.16.1.9 61.139.2.69 


[add Profle Ey 


4.3 网 络 设置 界面 


在 网 络 设置 界面 中 可 以 看 到 网 络 接口 相关 设置 ， 此 时 可 以 单 击 “Add Profile” 按 钮 为 已 连 
接 网 络 连接 添加 配置 文件 。 添 加 配置 文件 的 界面 如 图 4.4 所 示 。 
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New Profile 
Securi 
ldentity 
IPv4 Addresses | Automatic (DHCP) v 
IPv6 
DNS Automatice EL | 
Server 匠 


Re ee 


Address 


Netmask 


图 4.4 添加 配置 文件 


在 新 配置 中 可 以 添加 诸如 802.1x、IPv4 等 类 型 网 络 ， 以 常见 的 IPv4 网 络 为 例 ， 可 以 在 左 
侧 选 择 IPv4， 然 后 在 右 侧 的 “Addresses” 中 选择 “Manual”。 之 后 就 可 以 在 下 面 填 入 IP 地 址 、 
子 网 掩 码 、 网 关 、DNS、 静 态 路 由 等 信息 了 。 

多 次 添加 即 可 在 同一 个 网 络 连接 上 添加 多 个 配置 文件 , 这 些 配置 文件 可 以 在 网 络 设置 界面 
的 右 侧 看 到 ， 如 图 4.5 所 示 。 


Wired 
Connected - 1000 Mb/s ED 


Profile 2 全 
Profle 1 全 
eno16777736 v 全 


IPv4 Address 172.16.45.16 
IPv6 Address fe80:;20c:29f:fe23:7cd2 


Hardware Address 00:0C:29:23:7C:D2 
Default Route 172.16.45.1 


DNS 172.16.1.961.139.2.69 


| Add Profile... 


4.5 网 络 连接 的 多 配置 文件 


添加 了 多 配置 文件 后 , 接 下 来 的 任务 就 是 切换 配置 文件 让 不 同 的 配置 文件 在 不 同 的 网 络 环 
境 中 生效 。 切 换 配 置 文件 需要 单 击 桌面 右上 角 的 联网 图 标 菜单 ， 将 弹出 所 有 的 配置 文件 列表 ， 
如 图 4.6 所 示 。 
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图 4.6 网 络 配置 文件 列表 


此 时 只 需要 单 击 对 应 的 配置 文件 名 称 , 就 可 以 让 相应 的 配置 文件 生效 , 如 果 系 统 重启 就 采 
用 上 一 次 生效 的 配置 文件 。 


4.2.2 接口 IP 地 址 与 直 联 路 由 


无 论 使 用 哪 种 方式 为 网 络 接口 配置 IP 地 址 等 信息 ， 只 要 网 络 接口 接 入 某 个 子 网 ， 路 由 表 
就 会 立即 为 子 网 添加 相应 的 直 联 路 由 。 可 以 使 用 route 命令 查看 路 由 表 验 证 ， 如 【示例 4-3】 
所 示 。 


【示例 4-3】 


在 【示例 4-3】 的 命令 输出 中 ， 第 二 条 就 是 与 172.16.45.0 子 网 的 直 联 路 由 ， 这 是 由 接口 
eno16777736 的 IP 配置 决定 的 。 如 果 此 接口 的 IP 地 址 发 生变 化 或 有 新 的 接口 拥有 了 IP 地 址 ， 
路 由 表 中 的 直 联 路 由 也 会 发 生变 化 ， 如 【示例 4-4】 所 示 。 


【示例 4-4】 


由 以 上 示例 可 以 看 到 当 接 口 的 瑟 地 址 发 生 改变 后 ， 路 由 表 中 的 直 联 路 由 也 发 生 了 改变 。 


CentOS 7.5 系统 管理 与 运 维 实战 


4.2.3 route 命令 


在 Linux 系统 中 ， 查 看 、 添 加 、 删 除 路 由 的 是 route 命令 。 其 添加 删除 路 由 时 的 基本 格式 
如 【示例 4-5】 所 示 。 


【示例 4-5】 
route addldell [rnetl-host] ipaddress1 netmask netnask gw ipaddress2ldev 
各 项 参数 含义 如 下 : 


addldel: 表示 添加 或 删除 一 个 路 由 条 目 。 

-net|-host: 路 由 条 目的 目的 地 是 一 个 子 网 或 一 台 主 机 。 

ipaddress1: 目标 子 网 的 子 网 号 或 目标 主机 的 IP 地 址 。 

netmask: 目标 子 网 或 主机 的 子 网 掩 码 ， 当 目标 为 主机 时 ， 子 网 掩 码 长 度 应 为 32 位 。 
gw: 用 于 指定 下 一 跳 地 址 或 下 一 跳 设 备 。 通 常 将 Linux 作为 一 台 路 由 器 使 用 时 才 会 使 
用 下 一 跳 设 备 。 


除 以 上 列举 的 参数 之 外 ， 还 有 一 个 用 于 显示 路 由 表 时 使 用 的 选项 n， 此 选项 表示 使 用 卫 


地 址 显示 而 不 尝试 使 用 域名 。IP 地 址 转换 为 域名 需要 解析 ， 因 此 使 用 选项 n 可 以 快速 显示 路 
由 表 ， 如 【示例 4-6】 所 示 。 


【示例 4-6】 


【示例 4-6】 所 示 的 命令 输出 了 系统 内 核 的 路 由 表 ， 路 由 表 中 的 几 个 字段 含义 如 下 : 


@ Destination: 目标 网 络 号 或 目标 主机 IP 地址 ，default 表示 这 是 一 条 默认 路 由 。 

。 Gateway: 网 关 地 址 即 下 一 跳 地 址 ， 其 中 0.0.0.0 或 “*” 表 示 主 机 与 该 子 网 直接 相 联 ， 
无 须 下 一 跳 地 址 ( 直 联 路 由 ) 。 

e Genmask: 子 网 对 应 的 子 网 掩 码 。 

@ Flags: 路 由 标记 。 

e Metric: 路 由 条 目的 代价 值 。Metric 数值 越 高 ， 代 价 越 大 ， 此 值 一 般 在 有 多 条 到 目标 网 
络 的 路 由 时 才 起 作用 。 

ee Ref: 路 由 条 目 被 引用 的 次 数 。 

ee Use: 路 由 条 目 被 路 由 软件 查找 的 次 数 。 

日 Iface: 到 达 目标 网 络 使 用 的 本 地 接口 。 


在 上 面 的 字段 中 , Flags 路 由 标记 用 于 指示 路 由 条 目的 状态 ,常见 的 状态 标记 及 含义 如 下 : 
e U: 当前 路 由 处 于 活动 状态 (可 用 状态 ) 。 
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路 由 条 目的 目标 是 主机 而 不 是 子 网 。 
指向 默认 网 关 的 路 由 。 

恢复 动态 路 由 产生 的 路 由 。 

由 后 台 程序 动态 产生 的 。 

此 条 目 经 过 了 后 台 程序 修改 。 
缓存 的 路 由 条 目 。 
拒绝 路 由 。 


route 命令 还 可 以 用 于 添加 默认 路 由 通常 称 为 默认 网 关 )， 但 更 多 的 是 用 于 添加 静态 路 
由 ， 使 用 方法 如 【示例 4-7】 所 示 。 


eeeee ee 。 
总 


【示例 4-7】 


4.2.4 Linux 路 由 器 配置 实例 


学 习 完 之 前 的 基础 知识 之 后 , 可 以 利用 Linux 来 制作 一 个 路 由 器 。 本 小 节 将 简单 介绍 路 由 
器 包括 的 功能 及 如 何 将 Linux 配置 成 一 个 实用 的 路 由 器 。 

一 个 实用 的 路 由 器 最 起 码 应 该 包括 DHCP、 数 据 包 转 发 、NAT 等 ，DHCP 用 来 为 子 网 中 
的 计算 机 分 配 IP 地 址 、 网 关 、DNS 等 信息 ; 数据 包 转 发 是 路 由 器 的 核心 功能 ， 用 来 将 数据 包 
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准确 地 转发 到 相应 的 子 网 ，NAT 功能 用 来 做 地 址 转换 ， 即 将 子 网 发 往外 部 网 络 的 数据 包 地 址 
做 转换 。 在 Linux 系统 上 配置 路 由 器 可 以 采取 两 个 方案 ,其 一 是 使 用 Linux 自身 的 内 核 转发 功 
能 、 配 置 DHCP 服务 并 使 用 防火 墙 的 地 址 伪装 做 NAT 功能 ; 其 二 是 使 用 其 他 路 由 软件 ， 例 如 
著名 的 Zebra 等 。 本 小 节 将 采用 Linux 内 核 的 数据 包 转 发 功能 作为 示例 讲解 。 

在 本 节 的 路 由 器 配置 中 ， 采 用 的 拓扑 图 如 图 4.7 所 示 ， 路 由 器 的 一 端 连接 子 网 
192.168.0.0/24。 


TP:172.16.45.135 
2 和 3 
子 网 计算 机 
外 部 网 络 路 由 器 TP: 192.168.0.2 
图 4.7 路 由 拓扑 


在 开始 配置 路 由 器 之 前 ， 需 要 先 为 路 由 器 和 子 网 计算 机 上 的 网 络 连接 正确 配置 IP 地 址 ， 
确保 路 由 器 能 正常 访问 外 部 网 络 。 配 置 子 网 计算 机 时 ， 默 认 网 关 应 该 为 192.168.0.1。 配 置 完 
IP 地 址 后 ， 接 下 来 需要 配置 内 核 转发 ， 让 内 核 具有 转发 数据 包 的 功能 ， 如 【示例 4-8】 所 示 。 


【示例 4-8】 


这 样 Linux 就 具备 了 数据 包 转 发 功能 ， 接 下 来 需要 让 Linux 防火 墙 具备 NAT 功能 ， 这 个 
功能 通常 由 防火 墙 iptables 来 完成 ， 如 【示例 4-9】 所 示 。 


【示例 4-9】 


接 下 来 就 可 以 在 子 网 计算 机 上 访问 外 部 网 络 了 ， 可 以 通过 ping 命令 、curl 访问 网 址 等 方 


式 验 证 。 


由 于 本 书 的 第 3 章 已 介绍 过 DNS、DHCP 等 知识 ， 因 此 此 处 不 再 玖 述 ， 读 者 可 自行 参考 
| 相关 资料 配置 。 


4 .3 Linux 的 策略 路 由 


传统 的 路 由 是 一 个 指向 目标 子 网 的 “ 指 路 牌 ”任何 人 来 “ 问 路 ”路 由 都 会 明确 指向 目标 。 
传统 路 由 这 种 “不 问 来 人 情况 ”的 处 理 策 略 越 来 越 不 适合 现代 计算 机 网 络 ， 举 例 来 说 “行人 与 
汽车 ” 走 的 “路 ”应 该 是 不 同 的 。 这 样 策略 路 由 就 兴起 了 ， 策 略 路 由 是 近 些 年 来 兴起 的 一 个 比 
较 新 的 路 由 概念 。 策 略 路 由 可 以 根据 多 种 不 同 的 策略 决定 数据 包 通过 的 路 径 。 本 节 将 简要 介绍 
Linux 系统 中 的 路 由 及 策略 路 由 的 使 用 。 


4.3.1 策略 路 由 的 概念 


并 不 是 所 有 环境 都 适合 策略 路 由 。 策略 路 由 与 传统 路 由 相 比 最 大 的 不 同 是 , 策略 路 由 通常 
有 不 止 一 条 到 达 目 的 网 络 的 路 径 , 例如 在 一 个 网 络 中 有 两 个 出 口 联通 和 电信 等 。 因 此 策略 路 由 
在 企业 的 实施 环境 首要 条 件 是 网 络 有 多 个 出 口 ， 例 如 一 电信 一 联通 ， 又 如 一 出 口 速度 较 快 、 另 

-出 口 速度 相对 更 慢 一 些 等 。 

策略 路 由 按 实 现 的 方式 大 体 可 以 分 为 三 类 , 第 一 种 是 按 目的 地 址 进行 路 由 , 即 根据 目的 地 
不 同 选择 不 同 的 出 口 。 由 于 这 种 按 目 的 地 址 进行 路 由 的 方法 特别 适合 做 双 线 服务 器 , 因此 在 国 
内 使 用 的 较 多 。 第 二 种 是 按 源 地 址 进行 路 由 , 即 根据 发 出 数据 包 的 计算 机 地 址 决定 选择 哪个 出 
口 ， 这 种 方法 适用 于 多 种 环境 ， 例 如 多 线 机 房 、 客 户 定制 的 更 快速 的 网 络 等 。 第 三 种 是 智能 均 
衡 策略 路 由 ， 这 是 一 种 出 现时 间 较 晚 的 方式 , 在 这 种 方式 下 会 自动 识别 网 络 带宽 及 负载 ,根据 
带宽 和 负载 动态 地 决定 数据 包 从 哪个 出 口 发 出 。 

无 论 使 用 何 种 策略 路 由 ， 都 必须 注意 保护 连接 的 持续 性 ， 特 别 是 在 出 口上 使 用 了 NAT 的 
网 络 中 ， 即 需要 保证 内 部 网 络 主机 与 外 部 通信 时 , 数据 包 的 往返 都 使 用 的 是 同一 出 口 , 否则 可 
能 会 造成 资源 浪费 ， 甚 至 无 法 连接 的 情况 出 现 。 


4.3.2 ”路 由 表 管 理 


在 Linux 系统 中 ,策略 路 由 可 以 通过 路 由 表 来 实现 ,但 Linux 系统 中 的 路 由 表 并 不 像 普通 
路 由 器 那样 简单 ， 本 小 节 将 介绍 Linux 系统 中 的 路 由 表 。 

默认 情况 下 ，Linux 并 非 只 有 一 个 路 由 表 ， 因 为 如 果 系统 中 只 有 一 个 路 由 表 ， 策 略 路 由 的 
许多 功能 将 无 法 实现 。 数 据 包 转发 时 ， 并 不 需要 将 所 有 路 由 表 都 搜索 计算 一 次 ， 数 据 包 应 该 使 
用 哪个 路 由 表 路 由 ， 取 决 于 系统 设 定 的 规则 。 查 看 系统 默认 的 规则 ， 使 用 命令 “ip rule list” 
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或 “ip rule show”， 如 【示例 4-10】 所 示 。 
【示例 4-10】 


【示例 4-10】 展 示 的 是 没有 经 过 修改 的 Linux 系统 规则 列表 其 中 输出 了 3 个 路 由 表 local 
main 及 default 每 条 规则 前 面 的 数字 表示 规则 的 优先 级 数值 越 小 , 表明 优先 级 越 高 而 “from 
all” 表 明 所 有 的 数据 包 都 需要 经 过 路 由 表 的 匹配 。 

由 此 可 以 看 出 【示例 4-10】 所 示 的 处 理 过 程 应 该 是 ， 内 核 转发 的 数据 包 先 使 用 表 local 转 
发 ， 如 果 没 有 匹配 的 路 由 条 目 再 依次 使 用 表 main 和 default。 为 了 搞 清 Linux 系统 数据 包 的 转 
发 流程 ， 有 必要 搞 清 这 3 张 路 由 表 的 内 容 ， 如 【示例 4-11】 所 示 。 


【示例 4-11】 


【示例 4-11)】 分 别 输出 了 3 张 路 由 表 中 的 路 由 条 目 ， 其 中 表 default 中 的 路 由 条 目 为 空 ， 
此 处 不 做 讨论 。 由 于 计算 机 的 IP 地 址 为 172.16.45.13， 因 此 表 local 中 的 路 由 条 目 为 来 自 广播 
和 目的 地 为 本 地 接口 IP 的 数据 包 路 由 。 而 表 main 中 的 路 由 条 目 ， 很 明显 是 指向 本 地 子 网 ( 子 
网 172.16.45.0/24) 和 指向 默认 网 关 的 默认 路 由 。 

由 于 环境 并 不 复杂 , 因此 系统 默认 的 规则 中 并 没有 决定 哪些 数据 包 应 该 使 用 具体 的 某 个 路 
由 表 。 了 解 Linux 系统 的 路 由 表 机 制 后 , 接 下 来 我 们 就 可 以 利用 这 些 机 制 建立 自己 需要 的 路 由 
表 和 规则 了 。 建 立 一 个 路 由 表 和 相应 的 规则 如 【示例 4-12】 所 示 。 


【示例 4-12】 


【e2] 


在 【示例 4-12】 中 ， 先 使 用 编辑 rt_tables 的 方式 添加 一 个 名 为 testl 的 路 由 表 ， 然 后 添加 
一 条 规则 ， 规 定 所 有 源 地 址 为 192.168.19.0/24 的 包 通 过 testl 路 由 表 路 由 。 由 于 我 们 并 没有 向 
路 由 表 testl 中 添加 任何 路 由 条 目 ， 因 此 此 时 路 由 表 testl 还 为 室 ， 如 何 添加 将 在 下 一 小 节 中 介 
绍 。 

添加 testl 路 由 表 时 , 使 用 了 数字 100 作为 保留 值 (保留 值 为 table ID, testl 相当 于 table ID 
的 别名 ， 此 值 与 优先 级 无 关 ， 优 先 级 将 自动 分 配 )， 通 常 建议 这 个 值 小 于 253 且 不 重复 ， 具 体 
可 以 查看 rt_tables 文件 中 的 说 明 。 除 了 以 上 这 种 编辑 文件 的 方法 外 ， 还 可 使 用 指定 table ID 的 
方法 添加 路 由 表 ， 如 【示例 4-13】 所 示 。 


【示例 4-13】 


以 上 示例 将 添加 一 个 table ID 为 2 的 路 由 表 ， 并 指定 其 优先 级 为 1500。 
删除 路 由 表 与 以 上 过 程 相反 ， 首 先 需要 删除 相关 的 规则 ， 然 后 编辑 文件 rt_tables， 删 除 其 
中 的 相关 配置 ， 如 【示例 4-14】 所 示 。 


【示例 4-14】 


二 系统 重启 后 ， 规 则 将 失效 ， 如 需 继 续 生 效 可 以 将 设置 规则 的 相关 语句 写 入 /etc/rc.local 中 。 
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4.3.3 ”规则 与 路 由 管理 


从 前 面 几 小 节 的 内 容 中 不 难看 出 ，Linux 策略 路 由 管理 的 两 个 核心 分 别 是 规则 与 路 由 表 中 
路 由 的 管理 。 虽 然 之 前 已 经 介绍 过 路 由 管理 的 相关 概念 ,但 与 之 前 的 路 由 管理 相 比 ， 此 处 将 要 
麻烦 一 些 ， 因 为 在 策略 路 由 中 还 需要 细 化 一 些 参数 。 


1. 规则 


在 策略 路 由 中 ， 规 则 如 同一 个 筛选 器 ， 将 数据 包 按 预 先 的 设置 “ 送 给 ”路 由 表 ， 完 成 路 由 
过 程 。 添 加 一 条 规则 使 用 命令 ip， 格 式 如 下 : 
Iprule [agdldel] SEIECTOR ACTION 
在 以 上 格式 中 ，“[addldel]” 表 示 添 加 或 删除 一 条 规则 ，“SELECTOR” 表 示 数 据 包 选 择 
部 分 ，“ACTION” 表 示 执 行 的 操作 。 其 中 “SELECTOR” 可 以 选择 数据 包 的 多 种 选项 ， 常 见 
选项 如 下 所 示 : 
from: 源 地 址 。 
to: 目的 地 址 。 
tos: 数据 包 的 TOS (Type of Service ) 域 ， 用 于 标明 数据 包 的 用 途 。 
fwmark: 防火 墙 参数 。 
dev: 参与 设备 ， 具 体 包括 两 个 选项 iif 和 oif， 分 别 表 示 接 收 和 发 送 设 置 匹 配 。 
pref: 指定 优先 级 。 


在 以 上 选项 中 ， 无 疑 fom 和 to 是 常用 的 选项 。 除 以 上 选项 外 ， 还 有 一 些 其 他 选项 ， 读 者 
可 阅读 相关 文档 了 解 或 参考 ip-rule 的 手册 页 。 
与 “SELECTOR” 一 样 ,“ACTION” 执 行 的 动作 也 有 多 种 : 


table: 指明 使 用 的 table ID 或 表 名 。 

nat: 透明 网 关 ， 同 NAT 相似 。 

prohibit: 丢弃 包 并 返回 “Communication is administratively prohibited” 的 错误 消息 。 
unreachable: 丢弃 包 并 返回 “Network is unreachable” 的 错误 消息 。 

realms: 指定 数据 包 分 类 ， 此 选项 主要 用 于 配合 tc 做 流量 整形 。 


在 “ACTION ”执行 的 动作 中 ，table 和 nat 是 较 常 用 的 ，prohibit 和 unreachable 主要 用 来 
禁止 通信 ， 因 此 使 用 较 少 。 
在 【示例 4-15】 中 列举 了 一 些 常见 的 示例 。 


【示例 4-15】 
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2. 路 由 管理 


与 之 前 介绍 的 使 用 route 命令 添加 路 由 相 比 ， 策 略 路 由 的 路 由 管理 稍稍 复杂 一 些 ， 其 格式 
如 下 所 示 : 


其 中 ，ipaddress 参数 表示 网 络 号 ，via 选项 指定 的 参数 ipaddressl 表示 网 关 ip 地 址 ， 即 下 
一 跳 地 址 ，table_name 表示 路 由 表 名 。 
一 些 比较 常见 的 路 由 条 目 如 【示例 4-16】 所 示 。 


【示例 4-16】 


4.3.4 策略 路 由 应 用 实例 


在 前 面 几 小 节 中 , 介绍 了 Linux 系统 的 策略 路 由 的 运作 机 制 ， 本 小 节 将 通过 几 个 实例 介绍 
策略 路 由 的 应 用 。 

在 本 小 节 的 例子 中 ，Linux 主机 连接 了 两 个 子 网 (192.168.1.0/24 及 192.168.2.0/24)， 拥 有 
两 个 出 口 (第 一 个 是 172.16.33.2， 对 端 网 关 为 172.16.33.1; 另 一 个 为 172.16.34.2， 对 端 网 关 为 
172.16.34.1)， 如 图 4.8 所 示 。 
互联 网 出 口 1，eno16777736 


ip: 172.16.33.2 
对 端 网 关 : 172,16,33,1 


内 部 子 网 接口 1: eno50332208 
ip: 192.168.1.1 


内 部 子 网 9 


互联 网 出 口 2: en033554984 
ip: 172.16.34.2 
对 端 网 关 ， 172.16.34.1 


内 部 子 网 接口 2，eno67109432 
ip: 192.168.2.1 


4.8 策略 路 由 拓扑 


需要 说 明 的 是 出 口 及 对 端 网 关 地 址 应 为 网 络 供应 商 提供 的 公 网 IP 地 址 ， 此 处 出 于 安全 考 
虑 以 私 网 地 址 代替 ， 其 配置 过 程 仅 需 将 IP 地 址 等 信息 蔡 换 即 可 ， 其 他 并 无 不 同 之 处 。 
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1. 选择 出 口 


如 图 4.8 所 示 的 网 络 结构 , 现 有 两 个 出 口 , 其 中 互联 网 出 口 1 为 所 有 内 部 子 网 的 默认 出 口 ， 
出 口 2 比 出 口 1 速度 更 快 ， 但 仅 供 内 部 网 络 中 的 VIP 用 户 使 用 。 假 定 有 VIP 用 户 的 卫 地 址 为 
192.168.1.52 和 192.168.2.54， 现 需要 配置 这 两 个 地 址 的 流量 ， 使 用 出 口 2 以 获得 更 快 的 速度 。 


(1) 配置 默认 路 由 

根据 以 上 信息 先 配置 接口 eno16777736, 将 IP 地 址 、 默 认 网 关 等 信息 一 并 设置 ， 而 出 口 2 
仅 正 确 设置 IP 地 址 及 子 网 掩 码 即 可 ， 无 须 设置 默认 网 关 。 关 于 这 些 设置 ， 读 者 可 自行 参考 第 
3 章 中 的 相关 内 容 ， 此 处 不 再 袭 述 。 


(2) 配置 策略 路 由 
在 上 一 步 配 置 中 , 已 将 所 有 子 网 的 数据 包 的 转发 出 口 设置 为 出 口 1, 现在 需要 配置 VIP 用 
户 的 数据 包 从 出 口 2 进行 转发 ， 其 配置 方法 如 【示例 4-17】 所 示 。 


【示例 4-17】 


以 上 是 整个 配置 过 程 , 但 以 上 配置 在 系统 重启 后 会 消失 ， 因 此 需要 添加 规则 ， 将 添加 路 由 
表 T1 默认 路 由 的 语句 写 入 /etc/rc.local 中 。 


2. 负载 均衡 


负载 均衡 的 配置 方法 与 选择 出 口 的 配置 方法 略 有 不 同 , 因为 负载 均衡 时 需要 考虑 一 个 新 的 
问题 , 需要 保证 连接 的 持续 性 , 即 从 互联 网 出 口 1 进来 的 数据 包 返 回 时 也 从 出 口 1 返回 ; 出 口 
2 亦 相 同 。 负 载 均衡 的 配置 方法 如 【示例 4-18】 所 示 。 


【示例 4-18】 


100 


在 上 面 的 示例 中 ，weight 用 于 指定 出 口 的 权重 ， 此 处 都 设置 为 1， 表 示 平 等 对 待 ， 如 果 需 
要 区 别 对 待 可 以 修改 此 值 。 与 之 前 的 设置 方法 相同 ， 如 果 需 要 设置 在 重启 后 仍然 生效 ， 可 以 将 
规则 和 路 由 添加 到 文件 /ete/re.local 中 。 


本 小 节 仅 讨论 了 策略 路 由 如 何 实施 ， 并 没有 包含 诸如 NAT 等 问题 ， 关 于 路 由 器 转发 相关 
内 容 可 参考 4.2 节 中 的 相关 内 容 。 


4.4 小 结 


路 由 是 Linux 系统 中 相当 重要 的 内 容 , 本 章 从 实际 应 用 出 发 主要 介绍 了 Linux 系统 的 路 由 
相关 内 容 ， 通 过 实例 介绍 了 传统 路 由 的 设置 、 数 据 包 转发 等 内 容 。 对 于 Linux 上 的 策略 路 由 问 
题 ， 剖 析 了 Linux 策略 路 由 的 运作 机 制 ， 并 通过 实例 介绍 了 策略 路 由 的 应 用 。 
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类 似 Windows 中 的 网 络 共享 功能 ，Linux 系统 也 提供 了 多 种 网 络 文件 共享 方法 , 常见 的 有 
NFS、Samba 和 FTP。 

本 章 首先 介绍 网 络 文件 系统 NFS 的 安装 与 配置 ， 然 后 介绍 文件 服务 器 Samba 的 安装 与 设 
置 ， 最 后 介绍 常用 的 FTP 软件 的 安装 与 配置 。 通 过 本 章 ， 用 户 可 以 了 解 Linux 系统 中 常见 的 
几 种 网 络 文件 共享 方式 。 

本 章 主 要 涉及 的 知识 点 有 : 


e NFS 的 安装 与 使 用 
e Samba 的 安装 与 使 用 
e@ FTP 软件 的 安装 与 使 用 


全 .1‖ 网络 文 件 系统 ( NFS ) 


NFS (Network File System， 网 络 文件 系统 ) 是 一 种 分 布 式 文件 系统 ， 允 许 网 络 中 不 同 操 
作 系 统 的 计算 机 间 共 享 文件 ， 其 通信 协议 基于 TCP/IP 协议 层 ， 可 以 将 远程 的 计算 机 磁盘 挂 载 
到 本 地 ， 读 写 文件 像 本 地 磁盘 一 样 操作 。 


5.1.1 NFS 简介 


NFS 在 文件 传送 或 信息 传送 过 程 中 依赖 于 RPC (Remote Procedure Call) 协议 。RPC 协议 
可 以 在 不 同 的 系统 间 使 用 ， 此 通信 协议 设计 与 主机 及 操作 系统 无 关 。 使 用 NFS 时 用 户 端 只 需 
使 用 mount 命令 就 可 把 远程 文件 系统 挂 接 在 自己 的 文件 系统 之 下 ， 操 作 远程 文件 如 使 用 本 地 
计算 机 上 的 文件 一 样 。NFS 本 身 可 以 认为 是 RPC 的 一 个 程序 。 只 要 用 到 NFS 的 地 方 都 要 启动 
RPC 服务 ， 不 论 是 服务 端 还 是 客户 端 ，NFS 是 一 个 文件 系统 ， 而 RPC 负责 信息 的 传输 。 

例如 ， 在 服务 器 上 ， 要 把 远程 服务 器 192.168.3.101 上 的 /nfSSHare 挂 载 到 本 地 目录 ， 可 以 
执行 如 下 命令 : 
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当 挂 载 成 功 后 ， 本 地 上 的 /nfSSHare 目录 下 若 有 数据 ， 则 原 有 的 数据 都 不 可 见 ， 用 户 看 到 
的 是 远程 主机 192.168.3.101 上 面 的 /nfSSHare 目录 文件 列表 。 


5.1.2 配置 NFS 服务 器 
NFS 的 安装 需要 两 个 软件 包 ， 通 常情 况 下 是 作为 系统 的 默认 包 安 装 的 ， 版 本 因为 系统 的 
不 同 而 不 同 。 


enfs-utils-1.3.0-0.el7.x86_64.rpm 包含 一 些 基本 的 NFS 命令 与 控制 脚本 。 
® Ipcbind-0.2.0-23.el7.x86 64.rmpm 是 一 个 管理 RPC 连接 的 程序 ， 类 似 的 管理 工具 为 
portmap 。 


安装 方法 如 【示例 5-1】 所 示 。 


【示例 5-1】 


在 安装 好 软件 之 后 ， 接 下 来 就 可 以 配置 NFS 服务 器 了 ， 配 置 之 前 先 了 解 一 下 NFS 主要 的 
文件 和 进程 。 


(1) nfs 有 的 发 行 版 名 字 叫 作 nfsserver， 主 要 用 来 控制 NFS 服务 的 启动 和 停止 ， 安 装 完 
毕 后 位 于 /etc/initd 目录 下 。 

(2) rpcnfsd 是 基本 的 NFS 守护 进程 ， 主 要 功能 是 控制 客户 端 是 否 可 以 登录 服务 器 ， 另 
外 可 以 结合 /etc/hosts.allow 和 /etc/hosts.deny 做 更 精细 的 权限 控制 。 
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(3) rpc.mountd 是 RPC 安装 守护 进程 ， 主 要 功能 是 管理 NFS 的 文件 系统 。 通 过 配置 文 
件 共 享 指定 的 目录 ， 同 时 根据 配置 文件 做 一 些 权限 验证 。 

(4) rpcbind 是 一 个 管理 RPC 连接 的 程序 ，rpcbind 服务 对 NFS 是 必需 的 ， 因 为 是 NFS 
的 动态 端口 分 配 守 护 进程 ， 如 果 rpcbind 不 启动 ，NFS 服务 则 无 法 启动 。 类 似 的 管理 工具 为 
portmap。 

(5) exportfs 如 果 修 改 了 /etc/exports 文件 后 不 需要 重新 激活 NFS， 只 要 重新 扫描 一 次 
/etc/exports 文件 ， 并 且 重 新 将 设 定 加 载 即 可 。exportfs 参数 说 明 如 表 5.1 所 示 。 


表 5.1 exportfs 命令 常用 参数 说 明 


参数 。 说 阴 


| -a。 | 全 部 挂 载 /etc/exports 文件 内 的 设置 


| -。 | 知 载 茶 一 目录 
在 export 时 将 共享 的 目录 显示 在 屏幕 上 
(6) showmount 显示 指定 NFS 服务 器 连接 NFS 客户 端的 信息 ， 常 用 参数 如 表 5.2 所 示 。 


表 5.2 showmount 命令 常用 参数 说 明 


参数 。 说明 


| -a。 “| 列 出 NFS 服务 共享 的 完整 目录 信息 


| -a。 | 仅 列 出 客户 机 远程 安装 的 目录 
| -。 | 显示 导出 目录 的 列表 


配置 NFS 服务 器 首先 需要 确认 共享 的 文件 目录 和 权限 及 访问 的 主机 列表 ， 这 些 可 通过 
/etc/exports 文件 配置 。 一 般 系 统 都 有 一 个 默认 的 exports 文件 ， 可 以 直接 修改 。 如 果 没 有 ， 可 
创建 一 个 ， 然 后 通过 启动 命令 启动 守护 进程 。 

1. 配置 文件 /etc/exports 

要 配置 NFS 服务 器 ， 首 先 就 是 编辑 /etc/exports 文件 。 在 该 文件 中 ， 每 一 行 代表 一 个 共享 
目录 ， 并 且 描述 了 该 目录 如 何 被 共享 。exports 文件 的 格式 和 使 用 如 【示例 5-2】 所 示 。 

【示例 5-2】 


#< 共 享 目录 > [客户 端 1 选项 ] [客户 端 2 选项 ] 
/nfSSHare *(rw,all squash,sync,anonuid=1001,anongid=1000) 


每 行 一 条 配置 ， 可 指定 共享 的 目录 ， 人 允许 访问 的 主机 及 其 他 选项 设置 。 上 面 的 配置 说 明 
在 这 台 服 务 器 上 共享 了 一 个 目录 /nfSSHare， 参 数 说 明 如 下 : 


@ 共享 目录 : NFS 系统 中 需要 共享 给 客户 端 使 用 的 目录 。 
@ 客户 端 : 网 络 中 可 以 访问 这 个 NFS 共享 目录 的 计算 机 。 


客户 端 常用 的 指定 方式 : 
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指定 IP 地 址 的 主机 : 192.168.3.101。 

指定 子 网 中 的 所 有 主机 : 192.168.3.0/24 192.168.0.0/255.255.255.0。 
指定 域名 的 主机 : www.domain.com 。 

指定 域 中 的 所 有 主机 : *.domain.com。 

所 有 主机 : *。 


语法 中 的 选项 用 来 设置 输出 目录 的 访问 权限 用 户 映射 等 。 NFS 常用 的 选项 如 表 5.3 所 示 。 
表 5.3 NFS 常用 选项 说 明 


参 说 明 

| re ”| 该 主机 有 只 读 的 权限 

该 主机 对 该 共享 目录 有 可 读 可 写 的 权限 

| | 将 远程 访问 的 所 有 普通 用 户 及 所 属 组 都 映射 为 匿名 用 户 或 用 户 组 ， 相 当 于 使 用 nobody 
用 户 访问 该 共享 目录 。 注 意 此 参数 为 默认 设置 

与 all_ squash 取 反 ， 该 选项 默认 设置 

将 root 用 户 及 所 属 组 都 映射 为 匿名 用 户 或 用 户 组 ， 为 默认 设置 

与 rootsquash 取 反 

将 远程 访问 的 所 有 用 户 都 映射 为 匿名 用 户 ， 并 指定 该 用 户 为 本 地 用 户 


将 远程 访问 的 所 有 用 户 组 都 映射 为 匿名 用 户 组 账户 并 指定 该 匿名 用 户 组 账户 为 本 地 用 
户 组 账户 


将 数据 同步 写 入 内 存 缓冲 区 与 磁盘 中 ， 效 率 低 ， 但 可 以 保证 数据 的 一 致 性 
将 数据 先 保存 在 内 存 缓冲 区 中 ， 必 要 时 才 写 入 磁盘 
exports 文件 的 使 用 方法 如 【示例 5-3】 所 示 。 


【示例 5-3】 
/nfSSHare *.*(rw) 


该 行 设置 表示 共享 /nfSSHare 目录 ， 所 有 主机 都 可 以 访问 该 目录 ， 并 且 都 有 读 写 的 权限 ， 
客户 端 上 的 任何 用 户 在 访问 时 都 映射 成 nobody 用 户 。 如 果 客 户 端 要 在 该 共享 目录 上 保存 文 
件 ， 则 服务 器 上 的 nobody 用 户 对 /nfSSHare 目录 必须 要 有 写 的 权限 。 

【示例 5-4】 


/nfSSHare2 192.168.19.0/255.255.255.0 
(rw,all_squash,anonuid=1001,anongid=100) 192.168.32.0/255.255.255.0 (ro) 


数 


该 行 设置 表示 共享 /nfSSHare2 目录 ，192.168.19.0/24 网 段 的 所 有 主机 都 可 以 访问 该 目录 ， 
对 该 目录 有 读 写 的 权限 ， 并 且 所 有 的 用 户 在 访问 时 都 映射 成 服务 器 上 的 uid 为 1001、gid 为 
100 的 用 户 ; 192.168.32.0/24 网 段 的 所 有 主机 对 该 目录 有 只 读 访问 权限 ， 并 且 在 访问 时 所 有 的 
用 户 都 映射 成 nobody 用 户 。 


2. 启动 服务 
配置 好 服务 器 之 后 ， 要 使 客户 端 能 够 使 用 NFS， 必 须要 先 启 动 服务 。 启 动 过 程 如 【示例 
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5-5】 所 示 。 
【示例 5-5】 


NFS 服务 由 5 个 后 台 进 程 组 成 ， 分 别 是 mpcnfsd、rpc.lockd、rpc.statd、rpc.mountd、 
rpc.rquotad。rpc.nfsd 负责 主要 的 工作 ; rpc.lockd 和 rpc.statd 负责 抓 取 文 件 锁 ; rpc.mountd 负 
责 初始 化 客户 端的 mount 请 求 ; rpc.rquotad 负责 对 客户 文件 的 磁盘 配额 限制 。 这 些 后 台 程 序 
是 nfs-utils 的 一 部 分 ， 如 果 是 使 用 的 RPM 包 ， 它 们 存放 在 /usr/sbin 目录 下 。 

大 多 数 的 发 行 版 本 都 会 带 有 NFS 服务 的 启动 脚本 ， 在 CentOS 7.5 之 前 的 版 本 中 ， 要 启动 
NFS 服务 ， 执 行 /ete/init.d/nfs start 即 可 。 在 CentOS 7.5 中 ， 由 于 系统 框架 的 改变 ， 我 们 可 以 
使 用 systemctl 启动 ， 也 可 以 使 用 service nfs-server start 启动 。 


3. 确认 NFS 是 否 已 经 启动 


可 以 使 用 rpcinfo 命令 来 确认 ， 如 果 NFS 服务 正常 运行 ， 应 该 有 下 面 的 输出 ， 如 【示例 
5-6】 所 示 。 


【示例 5-6】 


从 上 述 结果 可 以 看 出 NFS 服务 已 经 启动 , 也 可 以 使 用 showmount 来 查看 服务 器 的 输出 清单 : 
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经 过 上 述 步骤 ，NFS 服务 器 端 已 经 配置 完成 ， 接 下 来 进行 客户 端的 配置 。 


5.1.3 配置 NFS 客户 端 


要 在 客户 端 使 用 NFS， 首 先 需 要 确定 要 挂 载 的 文件 路 径 ， 并 确认 该 路 径 中 没有 已 经 存在 
的 数据 文件 ， 然 后 确定 要 挂 载 的 服务 器 端的 路 径 ， 使 用 mount 挂 载 到 本 地 磁盘 ， 如 【示例 5-7】 
所 示 。mount 命令 的 详细 用 法 可 参考 前 面 章 节 。 


【示例 5-7】 

[root@CentOs test]# mount -t nfs -o rw 192.168.12.102:/nfSSHare /test 

[root@CentOs test]# touch s 

cannot touch ‘“s': Permission denied 

以 读 写 模式 挂 载 了 共享 目录 ， 但 root 用 户 并 不 可 写 ， 其 原因 在 于 /etc/exports 中 的 文件 设 
置 。 由 于 all_squash 和 root_squash 为 NFS 的 默认 设置 ， 会 将 远程 访问 的 用 户 映 射 为 nobody 
用 户 ， 而 /test 目录 nobody 用 户 是 不 可 写 的 ， 通 过 修改 共享 设置 可 以 解决 这 个 问题 。 

/nfSSHare *(rw,all squash,sync,anonuid=1001,anongid=1000) 


通过 以 上 设置 后 重启 NFS 服务 ， 这 时 目录 挂 载 后 就 可 以 正常 读 写 了 。 


全 .2 文件 服务 器 Samba 


Samba 是 一 种 在 Linux 环境 中 运行 的 免费 软件 ,利用 Samba, Linux 可 以 创建 基于 Windows 
的 计算 机 使 用 共享 。 另外，Samba 还 提供 一 些 工具 ， 允 许 Linux 用 户 从 Windows 计算 机 进入 
共享 和 传输 文件 。 Samba 是 基于 Server Messages Block 的 协议 , 可 以 为 局 域 网 内 的 不 同 计算 机 
系统 之 间 提 供 文件 及 打印 机 等 资源 的 共享 服务 。 


5.2.1 Samba 服务 简介 


SMB (Server Messages Block， 信 息 服 务 块 ) 是 一 种 在 局 域 网 上 共享 文件 和 打印 机 的 通信 
协议 ， 为 局 域 网 内 的 不 同 计算 机 之 间 提 供 文件 及 打印 机 等 资源 的 共享 服务 。SMB 协议 是 客户 
机 /服务 器 型 协议 ， 客 户 机 通过 该 协议 可 以 访问 服务 器 上 的 共享 文件 系统 、 打 印 机 及 其 他 资源 。 
通过 设置 “NetBIOS over TCP/IP”， 使 得 Samba 方便 在 网 络 中 共享 资源 。 


5.2.2 ”Samba 服务 安装 配置 


在 进行 Samba 服务 安装 之 前 ， 首 先 要 了 解 一 下 网 上 邻居 的 工作 原理 。 网 上 邻居 的 工作 模 
式 是 一 个 典型 的 客户 端 /服务 器 工作 模式 ， 首 先 ， 单 击 【 网 络 邻居 】 图 标 ， 打 开 网 上 邻居 列表 ， 
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这 个 阶段 的 实质 是 列 出 一 个 网 上 可 以 访问 的 服务 器 的 名 字 列 表 。 其 次 , 单 击 【打开 目标 服务 器 】 
图 标 ,， 列 出 目标 服务 器 上 的 共享 资源 ， 接 下 来 单 击 需 要 的 共享 资源 图 标 , 进行 需要 的 操作 (这 
些 操 作 包 括 列 出 内 容 、 增 加 、 修 改 或 删除 内 容 等 )。 在 单 击 一 台 具 体 的 共享 服务 器 时 ， 先 发 生 
了 一 个 名 字 解 析 过 程 ， 电 脑 会 尝试 解析 名 字 列 表 中 的 这 个 名 称 ， 并 尝试 进行 连接 。 在 连接 到 该 
服务 器 后 , 可 以 根据 服务 器 的 安全 设置 对 服务 器 上 的 共享 资源 进行 允许 的 操作 。Samba 服务 可 
以 提供 的 功能 为 可 以 在 Linux 之 间或 Linux 与 Windows 之 间 共 享 资源 。 


1. Samba 的 安装 


要 安装 Samba 服务 器 ， 可 以 采用 两 种 方法 : 从 二 进 制 代码 安装 和 从 源 代码 安装 。 初 学 者 
建议 使 用 RPM 来 安装 ; 较为 熟练 的 使 用 者 可 以 采用 源码 安装 的 方式 。 本 节 采 用 源码 安装 的 方 
式 , 最 新 的 源码 可 以 在 http:/www.samba.org/ 获 取 ， 本 节 采 用 的 软件 包 为 samba-4.2.0.tar.gz， 安 
装 过 程 如 【示例 5-8】 所 示 。 


【示例 5-8】 


在 主 目录 中 的 bin 和 sbin 子 目录 中 ， 包 含 了 Samba 最 主要 的 程序 : 


e。 smbd: SMB 服务 器 ， 为 客户 机 (如 Windows 等 ) 提供 文件 和 打印 服务 。 

e nmbd: NetBIOS 名 字 服 务 器 ， 可 以 提供 浏览 支持 。 

e smbclient: SMB 客户 程序 ， 类似 FTP 程序 ,用 以 从 Linux 或 其 他 操作 系统 上 访问 SMB 
服务 器 上 的 资源 。 

e smbmount: 挂 载 SMB 文件 系统 的 工具 ， 对 应 的 卸载 工具 为 smbumount。 

e smbpasswd: 用 户 增删 登录 服务 端的 用 户 和 密码 。 
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2. 配置 文件 
以 下 是 一 个 简单 的 配置 ， 允 许 特定 的 用 户 读 写 指定 的 目录 ， 如 【示例 5-9】 所 示 。 
【示例 5-9】 


[global] 表 示 全 局 配置 ， 是 必须 有 的 选项 。 以 下 是 每 个 选项 的 含义 。 


workgroup: 在 Windows 中 显示 的 工作 组 。 

netbios name: 在 Windows 中 显示 出 来 的 计算 机 名 。 

server string: Samba 服务 器 说 明 ， 可 以 自己 来 定义 。 

security: 这 是 验证 和 登录 方式 ，share 表示 不 需要 用 户 名 、 密 码 ， 对 应 的 另外 一 种 为 
user 验证 方式 ， 需要 用 户 名 、 密 码 。 

® [test]: 表示 Windows 中 显示 出 来 的 是 共享 的 目录 。 

e@ path: 共享 的 目录 。 

ee writeable: 共享 目录 是 否 可 写 。 

二 

. 


browseable: 共享 目录 是 否 可 以 浏览 。 
guest ok: 是 否 允 许 匿名 用 户 以 guest 身份 登录 。 


3. 服务 启动 
首先 创建 用 户 目录 及 设置 允许 的 用 户 名 和 密码 , 认证 方式 为 系统 用 户 认 证 , 要 添加 的 用 户 
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名 需要 在 /etc/passwd 中 存在 ， 如 【示例 5-10】 所 示 。 
【示例 5-10】 


启动 完毕 ， 可 以 使 用 ps 和 netstat 命令 查看 进程 和 端口 是 否 启动 成 功 。 
4. 服务 测试 


打开 Windows 中 的 资源 管理 器 ， 输 入 地 址 \192.168.19.103， 按 Enter 键 ， 弹 出 用 户 名 和 密 
码 校 验 界面 ， 输 入 用 户 名 、 密 码 ， 如 图 5.1 所 示 。 


图 5.1 Samba 登录 验证 界面 


验证 成 功 后 可 以 看 到 共享 的 目录 ， 进 入 test2， 创 建 目录 testdir， 如 图 5.2 所 示 。 可 以 看 到 
此 目录 对 于 test2 用 户 是 可 读 可 写 的 ， 与 之 对 应 的 是 进入 目录 test1， 发 现 没有 权限 写 入 ， 如 图 
5.3 所 示 。 


| 六 \\192. 168. 19. 103\test2 


。 文件 和 文件 赤 作 务 和 | testdir 
已 时 一 个 新 文人 
NH 


5.2 验证 目录 权限 5.3 无 权限 目录 无 法 访问 
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以 上 演示 了 Samba 的 用 法 ， 要 求 用 户 在 访问 共享 资源 之 前 必须 先 提供 用 户 名 和 密码 进行 
验证 。Samba 其 他 的 功能 可 以 参考 系统 帮助 。 


5 .3 FTp 服务 器 


FTP 文件 共享 基于 TCP/IP 协议 ， 目 前 绝 大 多 数 系统 都 会 有 支持 FTP 的 工具 存在 。FTP 是 
一 种 通用 性 比较 强 的 网 络 文件 共享 方式 。 


| 失败 。 另 一 个 小 技巧 是 在 安装 服务 软件 之 前 ， 先 用 命令 yum update -y 更 新 系统 ， 以 减少 


在 配置 FTP 之 前 最 好 先 禁用 SELinux、 防 火 墙 , 或 者 为 它们 添加 合适 的 规则 ,否则 会 导致 
BUG 出 现 的 可 能 。 


5.3.1 FTP 服务 概述 


FTP 方便 地 解决 了 文件 的 传输 问题 ， 从 而 让 人 们 可 以 方便 地 从 计算 机 网 络 中 获得 资源 。 
FTP 已 经 成 为 计算 机 网 络 上 文件 共享 的 一 个 标准 。FTP 服务 器 中 的 文件 按 目 录 结 构 进行 组 织 ， 
用 户 通过 网 络 与 服务 器 建立 连接 。FTP 是 仅 基 于 TCP 的 服务 , 不 支持 UDP。 与 众 不 同 的 是 FTP 
使 用 两 个 端口 ， 一 个 数据 端口 和 一 个 命令 端口 ， 也 可 叫 作 控制 端口 。 通 常 来 说 这 两 个 端口 是 
21 (命令 端口 ) 和 20 数据 端口 )。FTP 的 工作 方式 不 同 ， 数 据 端口 也 并 不 总 是 20， 可 由 此 分 
为 主动 FTP 和 被 动 FTP。 


三 主 动 FTP 


主动 方式 的 FTP 客户 端 从 一 个 任意 的 非特 权 端口 N (N>1024) 连接 到 FTP 服务 器 的 命令 
端口 21， 然 后 客户 端 开始 监听 端口 N+1， 并 发 送 FTP 命令 “port N+1” 到 FTP 服务 器 。 接 着 
服务 器 会 从 自己 的 数据 端口 20) 连接 到 客户 端 指定 的 数据 端口 (N+1)。 主 动 模式 下 ， 服 务 
器 端 开启 的 是 20 和 21 端口 ， 客 户 端 开启 的 是 1024 以 上 的 端口 。 


2. 被 动 FTP 


为 了 解决 服务 器 发 起 到 客户 的 连接 的 问题 采取 了 被 动 方式 ， 或 叫 作 PASV， 当 客户 端 通知 
服务 器 处 于 被 动 模式 时 才 启 用 。 在 被 动 方式 FTP 中 ， 命 令 连接 和 数据 连接 都 由 客户 端 发 起 ， 
当 开启 一 个 FTP 连接 时 ， 客 户 端 打开 两 个 任意 的 非特 权 本 地 端口 (N > 1024 和 N+1)。 第 1 
个 端口 连接 服务 器 的 21 端口 ， 但 与 主动 方式 的 FTP 不同， 客户 端 不 会 提交 PORT 命令 并 允许 
服务 器 来 回 连接 它 的 数据 端口 , 而 是 提交 PASYV 命令 。 这 样 做 的 结果 是 服务 器 会 开启 一 个 任意 
的 非特 权 端口 (P > 1024)， 并 发 送 PORT P 命令 给 客户 端 。 然 后 客户 端 发 起 从 本 地 端口 N+1 
到 服务 器 端口 P 的 连接 来 传送 数据 ， 此 时 服务 端的 数据 端口 不 再 是 20 端口 。 此 时 服务 端 开启 
的 是 21 命令 端口 和 大 于 1024 的 数据 连接 端口 ， 客 户 端 开启 的 是 大 于 1024 的 两 个 端口 。 
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主动 模式 是 从 服务 器 端 向 客户 端 发 起 连接 , 被 动 模式 是 客户 端 向 服务 器 端 发 起 连接 。 两 者 
的 共同 点 是 都 使 用 21 端口 进行 用 户 验 证 及 管理 ， 差 别 在 于 传送 数据 的 方式 不 同 。 


5.3.2 ”vsftp 的 安装 与 配置 


在 Linux 系统 下 , vsftp 是 一 款 应 用 比较 广泛 的 FTP 软件 , 其 特点 是 小 巧 轻 快 ， 安 全 易 用 。 
目前 在 开源 操作 系统 中 常用 的 FTP 软件 除 vsftp 外 ， 主 要 有 proftpd、purefrpd 和 wu-ftpd 等 ， 
各 个 FTP 软件 并 无 优 劣 之 分 ， 读 者 可 选择 熟悉 的 FTP 软件 。 


1. 安装 vsftpd 


安装 此 FTP 软件 可 以 采用 rpm 包 或 源码 的 方式 ，rpm 包 可 以 在 系统 安装 盘 中 找到 。 安 装 
过 程 如 【示例 5-11】 所 示 。 


【示例 5-11】 
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以 上 两 种 安装 方法 都 是 可 行 的 ， 读 者 可 自行 选择 如 何 安装 。 在 本 例 中 将 采用 以 yum 工具 
安装 的 vsftpd 作为 范例 。 


2. 匿名 FTP 设置 


【示例 5-12】 所 示 的 是 允许 匿名 用 户 访问 并 上 传 文件 ， 配 置 文件 路 径 一 般 为 
/etc/vsftpd.conf， 如 果 是 使 用 rpm 包 安装 ， 配 置 文件 位 于 /etc/vsftpd/vsftpd.conf 。 


【示例 5-12】 
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3. 启动 FTP 服务 
【示例 5-13】 


4. 匿名 用 户 登录 测试 


【示例 5-14】 


5. 实名 FTP 设置 


除 配 置 匿名 FTP 服务 外 , vsftp 还 可 以 配置 实名 FTP 服务 器 , 以 便 实现 更 精确 的 权限 控制 。 
实名 需要 的 用 户 认证 信息 位 于 /etc/vsftpd/ 目 录 下 ，vsftpd.conf 也 位 于 此 目录 ， 用 户 启动 时 可 以 
单独 指定 其 他 的 配置 文件 ， 本 示例 FTP 认证 采用 虚拟 用 户 认 证 。 


【示例 5-15】 
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vsftp 可 以 指定 某 些 用 户 不 能 登录 FTP 服务 器 、 支 持 SSL 连接 、 限 制 用 户 上 传 速率 等 ， 更 
多 配置 可 参考 帮助 文档 。 


5.3.3 ”proftpd 的 安装 与 配置 


proftpd 为 开放 源码 的 FTP 软件 ， 其 配置 与 Apache 类 似 ， 相 对 于 wu-ftpd， 其 在 安全 性 和 
可 伸缩 性 等 方面 有 很 大 的 提高 。 


1. 安装 proftpd 


最 新 的 源码 可 以 在 http://www.proftpd.org/ 获 取 ， 本 节 采 用 源码 安装 的 方式 安装 ， 安 装 过 程 
如 【示例 5-16】 所 示 。 


【示例 5-16】 
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2. 匿名 FTP 设置 


根据 上 面 的 安装 路 径 ， 配 置 文件 默认 位 置 在 /usrlocalproftp/etc/proftpd.conf， 人 允许 匿名 用 
户 访问 并 上 传 文件 的 配置 ， 如 【示例 5-17】 所 示 。 


【示例 5-17】 


3. 启动 FTP 服务 
【示例 5-18】 
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4. 匿名 用 户 登 录 测 试 
【示例 5-19】 


5. 实名 FTP 设置 


除 配 置 匿名 FTP 服务 ，proftp 可 以 配置 实名 FTP 服务 器 ， 以 便 实现 更 精确 的 权限 控制 。 
比如 登录 权限 、 读 写 权 限 ， 并 可 以 针对 每 个 用 户 单独 控制 ， 配 置 过 程 如 【示例 5-20】 所 示 ， 
本 示例 用 户 认证 方式 为 Shell 系统 用 户 认证 。 


【示例 5-20】 
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proftp 设置 文件 中 使 用 原始 的 FTP 指令 实现 更 细 粒 度 的 权限 控制 可 以 针对 每 个 用 户 设置 
单独 的 权限 ， 常 见 的 FTP 命令 集 如 下 : 


ee ALL 表示 所 有 指令 ， 但 不 包含 LOGIN 指令 。 

e DIRS 包含 CDUP、CWD、LIST、MDTM、MLSD、MLST、NLST、PWD、RNFR、 
STAT、XCUP、XCWD、XPWD 指令 集 。 

e LOGIN 包含 客户 端 登 录 指 令 集 。 

@ READ 包含 RETR、SIZE 指令 集 。 

。 WRITE 包含 APPE、DELE、MKD、RMD、RNTO、STOR、STOU、XMKD、XRMD 
指令 集 ， 每 个 指令 集 的 具体 作用 可 参考 帮助 文档 。 


以 上 示例 为 使 用 当前 的 系统 用 户 登 录 FTP 服务 器 ， 为 避免 安全 风险 ，proftpd 的 权限 可 以 
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和 MySQL 相 结合 实现 更 丰富 的 功能 ， 更 多 配置 可 参考 帮助 文档 。 


5.4 ,和 羞 


本 章 介绍 了 NEFS 的 原理 及 其 配置 过 程 .NFS 主要 用 于 需要 数据 一 致 性 的 场合 ,比如 Apache 
服务 可 能 需要 共同 的 存储 服务 , 而 前 端的 Apache 接 入 则 可 能 有 多 台 服 务 器 , 通过 NFS 用 户 可 
以 将 一 份 数据 挂 载 到 多 台 机 器 上 ,这 时 客户 端 看 到 的 数据 将 是 一 致 的 ， 如 需 修改 ， 只 修改 一 份 
数据 即 可 。 

Samba 常用 于 Linux 和 Windows 中 的 文件 共享 。 本 章 介 绍 了 Samba 的 原理 及 其 配置 过 程 。 
通过 Samba， 开 发 者 可 以 在 Windows 中 方便 地 编辑 Linux 系统 的 文件 ， 通 过 利用 Windows 中 
强大 的 编辑 工具 可 以 大 大 提高 开发 者 的 效率 。 
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使 用 LAMP (Linux + Apache + MySQL + PHP ) 来 搭建 Web 应 用 尤其 是 电子 商务 已 经 是 一 
种 流行 的 方式 , 因为 全 部 是 开源 和 免费 的 软件 , 所 以 成 本 非常 低 康 。 本 章 主要 介绍 平台 的 拱 建 ， 
在 搭建 平台 时 ， 也 可 以 直接 使 用 RPM 包 来 安装 ， 但 是 使 用 RPM 包 依赖 特定 的 平台 ， 建 议 使 
用 更 通用 的 方法 直接 从 源 代 码 来 安装 。 

本 章 首先 介绍 LAMP 密切 相关 的 HTTP 协议 , 然后 介绍 Apache 服务 的 安装 与 配置 和 PHP 
的 安装 与 配置 ， 最 后 给 出 MySQL 的 一 些 日 常 维护 方法 。 

本 章 主要 涉及 的 知识 点 有 : 


ee Apache 的 安装 与 配置 
e PHP 的 安装 与 配置 
e LAMP 应 用 


0 .1 Apache HTTP 服务 安装 与 配置 


Apache 是 世界 上 应 用 最 广泛 的 Web 服务 器 之 一 ， 尤 其 是 现在 ， 使 用 LAMP 
(Linux+Apache+MySQL+PHP) 来 搭建 Web 应 用 已 经 是 一 种 流行 的 方式 , 因此 掌握 Apache 的 
配置 是 系统 工程 师 必 备 的 技能 之 一 。 本 节 主 要 介绍 Apache 的 安装 与 配置 。 


6.1.1 HTTP 协议 简介 


超 文 本 传送 协议 (Hypertext Transfer Protocol，HTTP) 是 因特网 (World Wide Web，WWW， 也 
简称 为 Web) 的 基础 。HTTP 服务 器 与 HTTP 客户 机 (通常 为 网 页 浏览 器 ) 之 间 的 会 话 如 图 6.1 所 示 。 
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发 送 请 求 信息 
Web 浏 览 和 返回 咖 应 Web 服 务 器 


关闭 连接 


图 6.1 HTTP 服务 端 与 HTTP 客户 端 交互 过 程 
下 面 对 这 一 交互 过 程 进 行 详细 分 析 。 
1. 客户 机 与 服务 器 建立 连接 


首先 客户 端 与 服务 器 建立 连接 ， 就 是 SOCKET 连接 ， 因 此 要 指定 机 器 名 称 、 资 源 名 称 和 
端口 号 ， 可 以 通过 URL 来 提供 这 些 信息 。URL 的 格式 如 【示例 6-1】 所 示 。 


【示例 6-1】 


HTTP://<IP 地 址 >/ [端口 号 ]/ [路 径 ] [ < 其 他 信息 >] 
http://dev.mysql.com/get/Downloads/MySQL-5.1/mysql-5.1.49.tar.gz 


2. 客户 向 服务 器 提出 请 求 


请 求 信息 包括 希望 返回 的 文件 名 和 客户 机 信息 。 客户 机 信息 以 请 求 头发 送 给 服务 器 , 请 求 
头 包括 HTTP 方法 和 头 字 段 。 
HTTP 方法 常用 的 有 GET、HEAD、POST， 头 字段 主要 包含 以 下 字段 。 


e DATE: 请 求 发 送 的 日 期 和 时 间 。 

@ PARGMA: 用 于 向 服务 器 传输 与 实现 无 关 的 信息 。 这 个 字段 还 用 于 告诉 代理 服务 器 ， 
要 从 实际 服务 器 而 不 是 从 高 速 缓存 获取 资源 。 

@ FORWARDED: 可 以 用 来 追踪 机 器 之 间 ， 而 不 是 客户 机 和 服务 器 的 消息 。 这 个 字段 可 

以 用 来 追踪 在 代理 服务 器 之 间 的 传递 路 由 。 

MESSAGE_ID: 用 于 唯一 地 标识 消息 。 

ACCEPT: 通知 服务 器 客户 所 能 接受 的 数据 类 型 和 尺寸 。 

FROM: 当 客 户 应 用 程序 希望 服务 器 提供 有 关 电 子 邮 件 地 址 时 使 用 。 

IF-MODEFIED-SINCE: 如 果 所 请 求 的 文档 自从 所 指定 的 日 期 以 来 没有 发 生变 化 ， 那 么 

服务 器 应 不 发 送 该 对 象 。 如 果 所 发 送 的 日 期 格式 不 合法 或 晚 于 服务 器 的 日 期 ， 服 务 器 

会 忽略 该 字段 。 

@ BEFERRER: 向 服务 器 进行 资源 请 求 用 到 的 对 象 。 

。 MIME-VERTION: 用 于 处 理 不 同类 型 文件 的 MIME 协议 版 本 号 。 

e@ USER-AGENT: 有 关 发 出 请 求 的 客户 信息 。 


3. 服务 器 对 请 求 做 出 应 答 
服务 器 收 到 一 个 请 求 ， 就 会 立刻 解释 请 求 中 所 用 到 的 方法 ， 并 开始 处 理应 答 。 服 务 器 的 应 
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答 消息 也 包含 头 字段 形式 的 报 文 信息 。 状 态 码 是 一 个 3 位 数字 码 ， 主 要 分 为 4 类 。 
以 2 开头 ， 表 示 请 求 被 成 功 处 理 。 

以 3 开头 ， 表 示 请 求 被 重 定向 。 

以 4 开头 ， 表 示 客 户 的 请 求 有 错 。 

以 5 开头 ， 表示 服 务 器 不 能 满足 请 求 。 


响应 报 文 除 了 返回 状态 行 ， 还 向 客户 返回 几 个 头 字 段 ， 如 以 下 字段 : 


e DATE: 服务 器 的 时 间 。 
e LAST-MODIFIED: 网 页 最 后 被 修改 的 时 间 。 
e。 SERVER: 服务 器 信息 。 
二 
. 


CONTENT TYPE: 数据 类 型 。 
RETRY_AFTER: 服务 器 太 忙 时 返回 这 个 字段 。 


4. 关闭 客户 与 服务 器 之 间 的 连接 
此 步 主要 关闭 客户 端 与 服务 器 的 连接 ， 详 细 过 程 请 参考 TCP/IP 协议 的 关闭 过 程 。 


6.1.2 Apache 服务 的 安装 、 配 置 与 启动 


Apache 凭借 其 跨 平 台 和 安全 性 等 优点 被 广泛 使 用 。Apache 的 特点 是 简单 、 速 度 快 、 性 能 
稳定 ， 可 做 代理 服务 器 来 使 用 ， 可 以 支持 SSL 技术 ， 并 且 支持 多 个 虚拟 主机 ， 是 作为 Web 服 
务 的 优先 选择 。 


1. 编译 安装 


本 书 主要 以 httpd-2.4.12.tar.gz 源码 安装 Apache HTTP 服务 为 例 说 明 其 安装 过 程 。 如 果 系 
统 需要 使 用 https 协议 来 进行 访问 ， 需 要 Apache 支持 SSL， 因 此 在 开始 安装 Apache 软件 之 前 
要 安装 OpenSSL， 其 源码 可 以 在 http://www.openssl.org/ 下 载 。 安 装 OpenSSL 的 步骤 如 【示例 
6-2】 所 示 。 


【示例 6-2】 
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在 安装 完 OpenSSL 后 ， 接 下 来 就 可 以 安装 Apache 了 ， 安 装 Apache 的 步骤 如 【示例 6-3】 
所 示 。 


【示例 6-3】 


Apache 是 模块 化 的 服务 器 ， 核 心服 务 器 中 只 包含 了 功能 最 常用 的 模块 ， 而 扩展 功能 由 其 
他 模块 提供 。 在 设置 过 程 中 ， 可 以 指定 包含 哪些 模块 。Apache 有 两 种 使 用 模块 的 方法 : 


(1) 静 态 编译 至 二 进 制 文件 。 如 果 操 作 系 统 支持 动态 共享 对 象 (DSO), 而 且 能 为 autoconf 
所 检测 ， 则 模块 可 以 使 用 动态 编译 。DSO 模块 的 存储 是 独立 于 核心 的 ， 可 以 被 核心 使 用 由 
mod so 模块 提供 的 运行 时 刻 配 置 指令 包含 或 排除 。 如 果 编 译 中 包含 有 任何 动态 模块 ， 则 
mod_so 模块 会 被 自动 包含 进 核心 。 如 果 希 望 核心 能 够 装载 DSO, 而 不 实际 编译 任何 动态 模块 ， 
需要 明确 指定 --enable-so。 在 当前 的 实例 中 ， 核 心 模块 功能 我 们 全 部 启用 。 
(2) 需要 启用 SSL 加 密 和 mod_rewrite， 并 且 采 用 动态 编译 模式 ， 以 便 后 续 可 以 动态 添 
加 模块 而 不 重新 编译 Apache， 因 此 需要 启用 mod_so。 
在 上 面 的 示例 中 ， 还 有 一 个 重要 的 选项 with-mpm。 这 个 选项 用 来 指定 httpd 的 工作 模式 。 
常见 的 httpd 工作 模式 有 两 种 ， 即 prefork 和 worker: 
e@ prefork: 这 是 之 前 2.2 版 中 默认 的 工作 模式 。 这 种 工作 模式 下 会 有 许多 子 进程 ， 每 个 子 
进程 只 有 一 个 线程 ， 同 一 时 间 每 个 进程 都 只 处 理 一 个 请 求 。 这 种 工作 模式 一 般 用 来 避 
免 线程 兼容 性 问题 ，UNIX 系统 中 多 采用 此 种 方式 。 这 种 工作 模式 的 优点 是 处 理 效率 
高 、 稳 定性 好 ， 但 内 存 使 用 量 比较 大 。 
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e@ worker: worker 工作 模式 与 prefork 不 同 ，worker 也 会 有 许多 子 进程 ， 但 每 个 子 进程 有 
多 个 线程 ， 同 一 时 间 每 个 线程 只 处 理 一 个 请 求 。 这 种 工作 模式 的 优点 是 内 存 使 用 量 小 ， 
由 于 一 个 线程 衣 溃 会 导致 整个 进程 前 溃 ， 因 此 其 稳定 性 相对 不 足 。 


除了 以 上 两 种 常见 的 工作 模式 之 外 ， 还 有 一 种 名 为 Event 的 工作 模式 ， 这 种 模式 可 以 用 来 
处 理 更 高 的 负载 ， 但 使 用 这 种 工作 模式 的 网 站 较 少 ， 此 处 不 做 讨论 。 
基于 上 面 的 分 析 ， 配 置 编 译 选 项 时 ， 推 荐 使 用 以 下 选项 ， 如 【示例 6-4】 所 示 。 


【示例 6-4】 


每 个 项 目 及 网 站 的 情况 不 同 如 果 还 需要 支持 其 他 的 模块 可 以 在 编译 时 使 用 相应 的 选项 
2. 主要 目录 


经 过 上 面 的 过 程 ，Apache 已 经 安装 完毕 ， 安 装 目录 位 于 /usrlocal/apache2 目录 下 ， 主 要 的 
目录 说 明 如 表 6.1 所 示 。 


表 6.1 Apache 目录 说 明 
参数 说 明 


/usr/local/apache2/logs Apache log 文件 位 置 
/usr/local/apache2/htdocs Apache 资源 位 置 
Apache 配置 文件 


3. 配置 文件 


Apache 主 配置 文件 位 于 conf 目录 中 ， 名 为 httpd.conf。httpd.conf 包含 丰富 的 选项 配置 供 
用 户 选 择 ， 下 面 是 一 些 主要 配置 项 的 含义 说 明 。 


【示例 6-5】 
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以 上 是 配置 文件 httpd.conf 中 主要 的 配置 项 及 其 说 明 ， 其 中 模块 部 分 并 未 完全 列举 。 要 查 


询 各 个 模块 的 详细 用 法 及 说 明 ， 可 以 参考 http://httpd.apache.org/docs/2.4/mod/ 中 的 相关 文档 了 


解 。 


匡 直 Apache 有 众多 模块 ， 通 常 如 果 没 有 特殊 需要 ， 没 有 必要 修改 加 载 的 相关 设置 。 


前 面 介绍 到 httpd 的 两 种 常见 模式 ， 在 本 例 中 还 没有 为 工作 模式 相关 的 模块 设置 参数 。 在 


配置 文件 httpd.conf 中 加 入 相关 参数 ， 设 置 prefork 模块 相关 参数 如 下 ， 这 里 重点 说 明 各 配置 
项 的 意义 。 一 个 典型 的 profork 模块 参数 如 下 所 示 : 
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指令 说 明 : 


@ StartServers: 设置 服务 器 启动 时 建立 的 子 进程 数量 。 因 为 子 进程 数量 动态 地 取决 于 负 
载 的 轻重 ， 所 有 一 般 没 有 必要 调整 这 个 参数 。 

e@ MinSpareServers: 设置 空闲 子 进程 的 最 小 数量 。 所 谓 空闲 子 进程 ， 是 指 没有 正在 处 理 
请 求 的 子 进 程 。 如 果 当 前 空闲 子 进程 数 少 于 MinSpareServers ,那么 Apache 将 以 最 大 
每 秒 一 个 的 速度 产生 新 的 子 进程 。 只 有 在 非常 繁忙 的 机 器 上 才 需 要 调整 这 个 参数 ， 通 
常 不 建议 将 此 参数 的 值 设置 的 太 大 ， 除 非 你 的 机 器 非常 繁忙 。 

@ MaxSpareServers: 设置 空闲 子 进程 的 最 大 数量 。 如 果 当 前 有 超过 MaxSpareServers 数 
量 的 空闲 子 进程 ， 那 么 父 进程 将 杀 死 多 余 的 子 进程 。 只 有 在 非常 繁忙 的 机 器 上 才 需 要 
调整 这 个 参数 ， 通 常 不 建议 将 此 参数 设置 的 太 大 ， 除 非 你 的 机 器 非常 繁忙 。 如 果 将 该 
指令 的 值 设 置 为 比 MinSpareServers 小 ，Apache 将 会 自动 将 其 修改 成 

“MinSpareServers+1” 。 

e ServerLimit: 服务 器 允许 配置 的 进程 数 上 限 。 只 有 在 你 需要 将 MaxClients 设置 成 高 于 

默认 值 256 时 才 需 要 使 用 。 要 将 此 指令 的 值 保 持 和 MaxClients 一 样 。 修 改 此 指令 的 值 
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必须 完全 停止 服务 后 再 启动 才能 生效 ， 以 restart 方式 重启 动 将 不 会 生效 。 

e MaxClients: 用 于 伺服 客户 端 请 求 的 最 大 请 求 数量 (最 大 子 进程 数 ) ， 任 何 超过 
MaxClients 限制 的 请 求 都 将 进入 等 候 队 列 。 默 认 值 是 236， 如 果 要 提高 这 个 值 就 必须 同 
时 提高 ServerLimit 的 值 。 建 议 将 初始 值 设 为 以 MB 为 单位 的 “最 大 物理 内 存 /2”， 然 
后 根据 负载 情况 进行 动态 调整 。 比 如 一 台 4GB 内 存 的 机 器 ， 那 么 初始 值 就 是 
4000/2=2000。 

e MaxRequestsPerChild: 设置 每 个 子 进程 在 其 生存 期 内 允许 伺服 的 最 大 请 求 数量 。 到 达 
MaxRequestsPerChild 的 限制 后 ， 子 进程 将 会 结束 。 如 果 MaxRequestsPerChild 为 "0"， 
子 进程 将 永远 不 会 结束 。 将 MaxRequestsPerChild 设置 成 非 零 值 有 两 个 好 处 :; 可 以 防止 
偶然 的 内 存 泄漏 无 限 进 行 而 耗 尽 内 存 ; 给 进程 一 个 有 限 寿 命 ， 从 而 有 助 于 当 服 务 器 负 
载 减轻 时 减少 活动 进程 的 数量 。 


目前 大 多 数 服务 器 都 使 用 了 prefork 模式 ， 如 果 需 要 采用 worker 模式 ， 其 典型 的 参数 如 下 
所 示 : 


指令 说 明 ; 


@ StartServers: 设置 服务 器 启动 时 建立 的 子 进程 数量 。 因 为 子 进程 数量 动态 地 取决 于 负 

载 的 轻重 ， 所 以 一 般 没有 必要 调整 这 个 参数 。 

ServerLimit: 服务 器 允许 配置 的 进程 数 上 限 。 只 有 在 你 需要 将 MaxClients 和 

ThreadsPerChild 设置 成 需要 超过 默认 值 16 个 子 进 程 时 才 需 要 使 用 这 个 指令 .不 要 将 该 

指令 的 值 设 置 的 比 MaxClients 和 ThreadsPerChild 需要 的 子 进程 数量 高 。 修改 此 指令 的 

值 必 须 完全 停止 服务 后 再 启动 才能 生效 ， 以 restart 方式 重新 启动 将 不 会 生效 。 

ee ThreadLimit: 设置 每 个 子 进程 可 配置 的 线程 数 ThreadsPerChild 上 限 ， 该 指令 的 值 应 当 
和 ThreadsPerChild 可 能 达到 的 最 大 值 保持 一 致 。 修 改 此 指令 的 值 必须 完全 停止 服务 后 
再 启动 才能 生效 ， 以 restart 方式 重新 启动 将 不 会 生效 。 

@ MaxClients: 用 于 伺服 客户 端 请 求 的 最 大 接 入 请 求 数 量 (最 大 线程 数 ) 。 任 何 超过 
MaxClients 限制 的 请 求 都 将 进入 等 候 队 列 。 默 认 值 是 400，16 ( ServerLimit ) 乘 以 25 
(ThreadsPerChild ) 的 结果 。 因 此 要 增加 MaxClients 时 ， 你 必须 同时 增加 ServerLimit 
的 值 。 建 议 将 初始 值 设 为 以 MB 为 单位 的 “最 大 物理 内 存 /2”， 然 后 根据 负载 情况 进 
行动 态 调整 ， 比 如 一 台 4GB 内 存 的 机 器 ， 那 么 初始 值 就 是 4000/2=2000。 
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e MinSpareThreads: 最 小 空闲 线程 数 ， 默 认 值 是 “75”。 这 个 MPM 将 基于 整个 服务 器 
监视 空闲 线程 数 。 如 果 服 务 器 中 总 的 空闲 线程 数 太 少 ， 子 进程 将 产生 新 的 空闲 线程 。 

e MaxSpareThreads: 设置 最 大 空闲 线程 数 ， 默 认 值 是 “250”。 这 个 MPM 将 基于 整个 服 
务 器 监视 空闲 线程 数 。 如 果 服 务 器 中 总 的 空闲 线程 数 太 多 ， 子 进程 将 杀 死 多 余 的 空闲 
线程 。 

MaxSpareThreads 的 取 值 范围 是 有 限制 的 。Apache 将 按照 如 下 限制 自动 修正 你 设置 的 
值 : worker 要 求 其 大 于 等 于 MinSpareThreads 加 上 ThreadsPerChild 的 和 。 

e ThreadsPerChild: 每 个 子 进程 建立 的 线程 数 ， 默 认 值 是 25。 子 进程 在 启动 时 建立 这 些 
线程 后 就 不 再 建立 新 的 线程 了 。 每 个 子 进程 所 拥有 的 所 有 线程 的 总 数 要 足够 大 ， 以 便 
可 以 处 理 可 能 的 请 求 高 峰 。 

e@ MaxRequestsPerChild: 设置 每 个 子 进程 在 其 生存 期 内 允许 伺服 的 最 大 请 求 数量 。 


需要 特别 注意 的 是 ， 配 置 文 件 中 并 没有 关于 prefork 和 worker 的 相关 配置 项 ， 以 上 两 段 内 
容 需 要 手动 添加 ， 并 且 要 按 实 际 情况 对 以 上 参数 进行 调整 。 


4. 判断 使 用 何 种 工作 模式 


对 于 自己 安装 的 httpd， 我 们 可 以 通过 参考 编译 时 的 参数 判断 使 用 的 是 何 种 工作 模式 ， 但 
如 果 是 别人 编译 安装 的 httpd 可 能 就 无 法 判断 ， 这 时 可 以 使 用 以 下 命令 判别 〈 见 示例 6-6)。 


【示例 6-6】 


从 以 上 命令 的 输出 可 以 判断 出 当前 使 用 的 是 prefork 工作 模式 。 


6.1.3 Apache 基于 IP 的 虚拟 主机 配置 


Apache 配置 虚拟 主机 支持 3 种 方式 :基于 IP 的 虚拟 主机 配置 ,基于 端口 的 虚拟 主机 配置 ， 
基于 域名 的 虚拟 主机 配置 。 本 节 主 要 介绍 基于 IP 的 虚拟 主机 配置 。 

如 果 同 一 台 服 务 器 有 多 个 IP， 可 以 使 用 基于 IP 的 虚拟 主机 配置 ， 将 不 同 的 服务 绑 定 在 不 
同 的 IP 上 。 


(1) 假设 服务 器 有 一 个 IP 地 址 为 192.168.146.150， 首 先 使 用 ifconfig 在 同一 个 网 络 接口 
上 绑 定 其 他 3 个 IP， 如 【示例 6-7】 所 示 。 


【示例 6-7】 
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(2) 3 个 IP 对 应 的 域名 如 下 ， 配 置 主机 的 host 文件 便于 测试 。 
【示例 6-8】 


(3) 建立 虚拟 主机 存放 网 页 的 根 目录 ， 并 创建 首页 文件 index.html。 
【示例 6-9】 
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(4) 修改 httpd.conf 在 文件 末尾 加 入 以 下 配置 。 
【示例 6-10】 


(5) 编辑 每 个 IP 的 配置 文件 。 
【示例 6-11】 
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(6) 配置 完 以 后 可 以 启动 Apache 服务 并 进行 测试 。 
【示例 6-12】 


6.1.4 Apache 基于 端口 的 虚拟 主机 配置 


如 果 一 台 服 务 器 只 有 一 个 IP 或 需要 通过 不 同 的 端口 访问 不 同 的 虚拟 主机 ， 可 以 使 用 基于 
端口 的 虚拟 主机 配置 。 


(1) 假设 服务 器 有 一 个 IP 地 址 为 192.168.146.154， 如 【示例 6-13】 所 示 。 
【示例 6-13】 


(2) 需要 配置 的 虚拟 主机 分 别 为 7081、8081 和 9081， 配 置 主机 的 host 文件 ， 以 便于 测 
试 。 
【示例 6-14】 
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(3) 建立 虚拟 主机 存放 网 页 的 根 目录 ， 并 创建 首页 文件 index.html。 
【示例 6-15】 


(4) 修改 httpd.conf， 在 文件 末尾 加 入 以 下 配置 。 
【示例 6-16】 


(5) 编辑 每 个 IP 的 配置 文件 。 
【示例 6-17】 
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(6) 配置 完 以 后 可 以 启动 Apache 服务 并 进行 测试 。 


【示例 6-18】 


6.1.5 ”Apache 基于 域名 的 虚拟 主机 配置 


使 用 基于 域名 的 虚拟 主机 配置 是 比较 流行 的 方式 ， 可 以 在 同一 个 IP 上 配置 多 个 域名 并 且 
都 通过 80 端口 访问 。 


(1) 假设 服务 器 有 一 个 IP 地 址 为 192.168.3.105， 如 【示例 6-19】 所 示 。 
【示例 6-19】 


(2) 192.168.3.105 对 应 的 域名 如 下 ， 配 置 主机 的 host 文件 便于 测试 。 
【示例 6-20】 
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(3) 建立 虚拟 主机 存放 网 页 的 根 目 录 ， 并 创建 首页 文件 index.html。 
【示例 6-21】 


(4) 修改 httpd.conf， 在 文件 末尾 加 入 以 下 配置 。 
【示例 6-22】 


(5) 编辑 每 个 域名 的 配置 文件 。 
【示例 6-23】 
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(6) 配置 完 以 后 可 以 启动 Apache 服务 并 进行 测试 。 在 浏览 器 测试 是 同样 的 效果 。 
【示例 6-24】 


如 果 需 要 在 现 有 的 Web 服务 器 上 增加 虚拟 主机 ， 通 常 建议 像 上 面 那样 单独 将 虚拟 主机 的 
配置 文件 写 在 一 个 专门 的 虚拟 主机 配置 文件 中 ， 然 后 在 httpd.conf 中 加 载 ， 以 免 将 httpd.conf 
弄 的 杂乱 无 章 。 在 虚拟 主机 配置 文件 中 ， 必 须 为 现存 的 主机 建造 一 个 <VirtualHos 人 > 定义 块 。 在 
<VirtualHost> 指 令 后 面 ， 即 可 使 用 一 个 固定 的 IP 地 址 ， 也 可 以 使 用 “* ”代表 所 有 监听 地 址 。 
之 后 需要 配置 虚拟 主机 使 用 的 域名 、 主 目录 位 置 等 信息 。 

至 此 ，3 种 虚拟 主机 配置 方法 介绍 完毕 ， 有 关 配 置 文件 的 其 他 选项 可 以 参考 相关 资料 或 
Apache 的 帮助 手册 。 


6.1.6 Apache 安全 控制 与 认证 


Apache 提供 了 多 种 安全 控制 手段 , 包括 设置 Web 访问 控制 、 用 户 登录 密码 认证 及 .htaccess 
文件 等 。 通 过 这 些 技术 手段 ， 可 以 进一步 提升 Apache 服务 器 的 安全 级 别 ， 减 少 服务 器 受 攻 击 
或 数据 被 窃取 的 风险 。 


1.Apache 安全 控制 


要 进行 Apache 的 访问 控制 ， 首 先 要 了 解 Apache 的 虚拟 目录 。 虚 拟 目录 可 以 用 指定 的 指 
令 设置 , 设置 虚拟 目录 的 好 处 在 于 便于 访问 之 外 ,还 可 以 增强 安全 性 、 类 似 软 链接 的 概念 ， 客 
户 端 并 不 知道 文件 的 实际 路 径 。 虚 拟 目录 的 格式 如 【示例 6-25】 所 示 。 
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【示例 6-25】 


每 个 Directory 段 以 <Directory> 开 始 、 以 </Directory> 结 束 ， 段 作用 于 <Directory> 中 指定 的 
目录 及 其 里 面 的 所 有 文件 和 子 目录 。 在 段 中 可 以 设置 与 目录 相关 的 参数 和 指令 ， 包 括 访问 控制 
和 认证 。2.4 版 的 Apache 在 访问 控制 方面 与 之 前 的 2.2 版 有 较 大 改变 ，2.4 版 中 的 控制 指令 主 
要 使 用 Require， 控 制 方法 主要 有 基于 ip 地 址 、 域 名 、http 方法 、 用 户 等 。 


(1) 人 允许、 拒绝 所 有 访问 指令 
人 允许、 拒绝 所 有 访问 : 


(2) 基于 IP 地 址 或 网 络 
基于 IP 地 址 或 网 络 访问 : 


(3) 基于 域名 
通常 不 建议 使 用 基于 域名 的 访问 控制 ， 这 主要 是 因为 解析 域名 可 能 会 导致 访问 速度 变 慢 : 


【示例 6-26】 


当 访 问 没有 权限 的 地 址 时 ， 会 出 现 以 下 提示 信息 : 


现在 , 我 们 使 用 6.1.3 小 节 中 虚拟 卫 虚拟 主机 的 例子 来 模拟 ， 其 中 主要 的 配置 文件 与 之 前 
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设置 相同 。 
首先 配置 对 应 虚拟 主机 的 配置 文件 ， 本 例 中 仅 使 用 配置 文件 www.test151.conf， 如 【示例 
6-27】 所 示 。 


【示例 6-27】 


保存 后 重启 Apache 服务 。 
在 IP 地 址 为 192.168.146.134 的 机 器 上 编辑 /etc/hosts， 加 入 以 下 内 容 : 


之 后 可 以 直接 打开 浏览 器 访问 http://www.test151.com 进行 测试 ， 可 以 看 到 只 有 指定 的 客 
户 端 可 以 访问 ， 访 问 控制 的 目的 已 经 达到 。 


2.Apache 认证 


除了 可 以 使 用 以 上 介绍 的 指令 控制 特定 的 目录 访问 之 外 ,Apache 还 提供 了 认证 与 授权 机 
制 。 比 如 服务 器 中 有 敏感 信息 需要 授权 的 用 户 才能 访问 。 当 用 户 访问 使 用 此 机 制 控制 的 目录 时 ， 
会 提示 用 户 输入 用 户 名 、 密 码 ， 只 有 输入 正确 用 户 名 和 密码 的 主机 才 可 以 正常 访问 该 资源 。 

Apache 的 认证 类 型 分 为 两 种 ， 基本 〈Basic) 认证 和 摘要 〈Digest) 认证 两 种 。 摘 要 认证 
比 基 本 认证 更 加 安全 , 但 是 并 非 所 有 的 浏览 器 都 支持 摘要 认证 , 所 以 本 节 只 针对 基本 认证 进行 
介绍 。 基 本 认证 方式 其 实 相当 简单 ， 当 Web 浏览 器 请 求 经 此 认证 模式 保护 的 URL 时 ,将 会 出 
现 一 个 对 话 框 ， 要 求 用 户 输入 用 户 名 和 口令 。 用 户 输入 后 ， 传 给 Web 服务 器 ，Web 服务 器 验 
证 它 的 正确 性 。 如 果 正 确 ， 就 返回 页 面 ， 否则 将 返回 401 错误 。 

要 使 用 用 户 认证 ， 首 先 要 创建 保存 用 户 名 和 口令 的 认证 口令 文件 。 在 Apache 中 提供 了 
htpasswd 命令 ， 用 于 创建 和 修改 认证 口令 文件 ， 该 命令 在 <Apache 安装 目录 >/bin 目录 下 。 关 
于 该 命令 完整 的 选项 和 参数 说 明 可 以 通过 直接 运行 htpasswd 获取 。 

要 在 /usr/local/apache2/conf 目录 下 创建 一 个 名 为 users 的 认证 口令 文件 ， 并 在 口令 文件 中 
添加 一 个 名 为 admin 的 用 户 ， 命 令 如 下 所 示 。 
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命令 运行 后 会 提示 用 户 输入 admin 用 户 的 口令 并 再 次 确认 。 
【示例 6-28】 


认证 口令 文件 创建 后 ， 如 果 还 要 再 向 文件 里 添加 一 个 名 为 userl 的 用 户 ， 可 以 执行 如 下 命 
令 。 


[root@CentOs bin]# htpasswd -b /usr/local/apache2/conf/users.1ist user1 123456 
命令 运行 后 会 添加 一 个 userl 用 户 ， 密 码 为 123456。 
【示例 6-29】 


与 /etc/shadow 文件 类 似 ， 认 证 口令 文件 中 的 每 一 行为 一 个 用 户 记录 ， 每 条 记录 包含 用 户 
名 和 加 密 后 的 口令 。 


htpasswd 命令 没有 提供 删除 用 户 的 选项 ,如 果 要 删除 用 户 ,直接 通过 文本 编辑 器 打开 认证 


口令 文件 把 指定 的 用 户 删除 即 可 。 


创建 完 认证 口令 文件 后 ， 还 要 对 配置 文件 进行 修改 。 用户 认 证 是 在 httpd.conf 配置 文件 中 
的 <Directory> 段 中 进行 设置 的 ， 其 配置 涉及 的 主要 指令 如 下 : 
(1) AuthName 指令 
AuthName 指令 设置 了 使 用 认证 的 域 ， 此 域 会 出 现在 显示 给 用 户 的 密码 提问 对 话 框 中 ， 其 
次 也 帮助 客户 端 程序 确定 应 该 发 送 哪个 密码 。 其 指令 格式 如 下 : 
mthNane 域 2g 称 
域名 称 没 有 特别 限制 ， 用 户 可 以 根据 自己 的 喜欢 进行 设置 。 


(2) AuthType 指令 
AuthType 指令 主要 用 于 选择 一 个 目录 的 用 户 认 证 类 型 ， 目 前 只 有 两 种 认证 方式 可 以 选择 ， 
Basic 和 Digest， 分 别 代表 基本 认证 和 摘要 认证 。 该 指令 格式 如 下 : 


authType Basic/pigest 
(3) AuthUserFile 指令 


AuthUserFile 指令 用 于 设 定 一 个 纯 文 本 文件 的 名 称 ， 其 中 包含 用 于 认证 的 用 户 名 和 密码 的 
列表 ， 该 指令 格式 如 下 : 
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(4) Require 指令 
Require 指令 用 于 设置 哪些 认证 用 户 人 允许 访问 指定 的 资源 这些 限制 由 授权 支持 模块 实现 ， 
其 格式 有 下 面 两 种 : 


@ 用 户 名 : 认证 口令 文件 中 的 用 户 ， 可 以 指定 一 个 或 多 个 用 户 ， 设 置 后 只 有 指定 的 用 户 
才能 有 权限 进行 访问 。 
@ valid-user: 授权 给 认证 口令 文件 中 的 所 有 用 户 。 
现在 ， 假 设 网 站 管理 员 希 望 对 bm 目录 做 进一步 控制 ， 配 置 该 目录 只 有 经 过 验证 的 admin 
用 户 能 够 访问 ， 用 户口 令 存放 在 users.list 口令 认证 文件 中 。 要 实现 这 样 的 效果 ， 需 要 把 
www.test151.conf 配置 文件 中 的 配置 信息 蔡 换 为 下 面 的 内 容 ， 如 【示例 6-30】 所 示 。 


【示例 6-30】 


重启 Apache 服务 后 ， 在 客户 端 使 用 浏览 器 访问 http://www.test151.com/( 进 行 测试 )， 如 
图 6.2 所 示 。 输 入 用 户 名 和 密码 ， 单 击 【 确 定 】 按 钮 。 
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图 6.2 认证 窗口 


验证 成 功 后 将 进入 如 图 6.3 所 示 的 页 面 ， 否 则 将 会 要 求 重 新 输入 。 如 果 单 击 【取消 】 按 钮 
将 会 返回 如 图 6.4 所 示 的 错误 页 面 。 


~ © em 局 ] 加 [socoe @ 
而 访问 县 多 ” 回 Centos 总 Support™ 


Unauthorized 


This server could not verify that you are authorized to access the 
document requested. Either you suppliod the wrong credentials 
(e.g., bad password), or your rey doesnt understand how to 
supply the credentials requirer 


图 6.3 访问 PHP 成 功 页 面 图 6.4 认证 错误 页 面 


3. .htaccess 设置 


.htaccess 文件 又 称 为 分 布 式 配置 文件 ， 该 文件 可 以 覆盖 httpd.conf 文件 中 的 配置 ， 但 是 它 
只 能 设置 对 目录 的 访问 控制 和 用 户 认 证 。.htaccess 文件 可 以 有 多 个 ， 每 个 .htaccess 文件 的 作用 
范围 仅 限 于 该 文件 所 存放 的 目录 以 及 该 目录 下 的 所 有 子 目录 。 虽 然 .htaccess 能 实现 的 功能 在 
<Directory> 段 中 都 能 够 实现 ， 但 是 因为 在 .htaccess 修改 配置 后 并 不 需要 重启 Apache 服务 就 能 
生效 ， 所 以 在 一 些 对 停机 时 间 要 求 较 高 的 系统 中 可 以 使 用 。 

启用 .htaccess 文件 需要 做 以 下 设置 : 


(1) 打开 配置 文件 www.test151.conf， 将 目录 的 配置 信息 替换 为 下 面 的 内 容 ， 如 【示例 
6-31】 所 示 。 


【示例 6-31】 


修改 主要 包括 两 个 方面 : 
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ee 删除 原 有 的 关于 访问 控制 和 用 户 认证 的 参数 和 指令 因为 这 些 指令 将 会 被 写 到 .htaccess 
文件 中 去 。 

@ 添加 AllowOverride All 参数 ， 允 许 .htaccess 文件 覆盖 httpd.conf 文件 中 关于 虚拟 主机 目 
录 的 配置 。 如 果 不 做 这 项 设置 ，.htaccess 文件 中 的 配置 将 不 能 生效 。 


(2) 重启 Apache 服务 ， 在 /data/www/151/ 目 录 中 创建 一 个 文件 .htaccess， 如 【示例 6-32】 
所 示 。 


【示例 6-32】 


其 他 测试 过 程 与 上 一 节 类 似 ， 此 处 不 再 獒 述 。 


0 .27 MysQL 服务 的 安装 与 配置 


MySQL 可 以 支持 多 种 平台 ， 如 Windows、UNIX、FreeBSD 或 其 他 Linux 系统 。MySQL 
如 何 安装 ，MySQL 如 何 配置 ，MySQL 有 哪些 启动 方式 ，MySQL 服务 如 何 停止 …… 要 了 解 这 
些 知 识 ， 可 以 阅读 本 节 的 内 容 。 


| MySQL 被 收购 ， 现 在 大 量 的 公司 将 原来 MySQL 的 解决 方案 改 为 MariaDB。MariaDB 是 
MySQL 的 一 个 分 支 ， 与 其 完全 兼容 。 


6.2.1 MySQL 的 版 本 选择 


安装 MySQL 首先 要 确定 使 用 哪个 版 本 。MySQL 的 开发 有 几 个 发 布 系列 ， 可 以 选择 最 适 
合 要 求 的 一 个 版 本 。MySQL 的 每 个 版 本 都 提供 了 二 进 制版 本 和 源码 ， 开 发 者 可 以 自由 选择 安 
装 。 在 5.6 版 本 中 ,数据 库 的 可 扩展 性 、 集 成 度 以 及 查询 性 能 都 得 到 提升 。 新 增 功能 包括 实现 
全 文 搜索 ， 开 发 者 可 以 通过 InnoDB 存储 引擎 列表 进行 索引 和 搜索 基于 文本 的 信息 ; InnoDB 
重 写 日 志文 件 容量 也 增 至 2TB， 能 够 提升 写 密集 型 应 用 程序 的 负载 性 能 ; 加 速 MySQL 复制 ; 
提供 新 的 编程 接口 ， 使 用 户 可 以 将 MySQL 与 新 的 和 原 有 的 应 用 程序 以 及 数据 存储 无 颖 集成 。 
MySQL 5.1 是 当前 稳定 并 且 使 用 广泛 的 发 布 系 列 , 只 针对 漏洞 修复 重新 发 布 , 没有 增加 会 影响 
稳定 性 的 新 功能 。MySQL4.x 是 旧 的 稳定 发 布 系列 ， 目 前 只 有 少量 用 户 使 用 。 

这 里 将 以 MySQL 5.1.71 版 本 为 例 说 明 MySQL 的 安装 和 使 用 。 安 装 之 前 有 必要 了 解 下 


147 


CentOS 7.5 系统 管理 与 运 维 实战 


MySQL 的 版 本 命名 机 制 。 


6.2.2 MySQL 的 版 本 命名 机 制 


MySQL 的 版 本 命名 机 制 使 用 由 数字 和 一 个 后 绥 组 成 的 版 本 号 ， 如 mysql-5.1.71 版 本 号 的 
解释 如 下 : 

日 第 1 个 数字 5 是 主 版 本 号 ， 相同 主 版 本 号 具有 相同 的 文件 格式 。 

日 第 2 个 数字 1 是 发 行 级 别 。 主 版 本 号 和 发 行 级 别 组 合 到 一 起 便 构 成 了 发 行 序列 号 。 

日 第 3 个 数字 71 是 在 此 发 行 系列 的 版 本 号 ， 随 每 个 新 分 发 版 本 递增 。 


同时 版 本 号 可 能 包含 后 级 ， 如 alpha、beta 和 re。 

alpha 表明 发 行 包含 大 量 未 被 彻底 测试 的 新 代码 , 包含 新 功能 , 一 般 作 为 新 功能 体验 使 用 。 
beta 意味 着 该 版 本 功能 是 完整 的 ， 并且 所 有 的 新 代码 被 测试 , 没有 增加 重要 的 新 特征 , 没有 已 
知 的 缺陷 。rc 是 发 布 版 本 ， 表 示 一 个 发 行 了 一 段 时 间 的 beta 版 本 ， 运 行 正常 ， 只 增加 了 很 小 
的 修复 。 如 果 没 有 后 级 ， 如 mysql-5.1.71-linux-i686-icc-glibc23.tar， 这 意味 着 该 版 本 已 经 在 很 
多 地 方 运行 一 段 时间 了 ， 而 且 没有 非 平台 特定 的 缺陷 报告 ， 可 以 认为 是 稳定 版 。 


6.2.3 ”MySQL rpm 包 安装 


MySQL 的 安装 可 以 通过 源码 或 rpm 包 安 装 ， 如 要 避免 编译 源 代码 的 复杂 配置 ， 可 以 使 用 
rpm 包 安装 。 但 在 CentOS 7.5 光盘 中 没有 MySQL 安装 包 ， 所 以 无 法 通过 光盘 进行 安装 ， 这 里 
将 使 用 yum 安装 源 的 方式 进行 安装 ， 如 【示例 6-33】 所 示 。 


【示例 6-33】 
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如 需 查看 每 个 安装 包 包 含 的 详细 文件 列表 ， 可 以 使 用 “rpm -ql 软件 名 ”查看 ， 该 命令 列 
出 了 当前 pm 包 的 文件 列表 及 安装 位 置 ， 如 【示例 6-34】 所 示 。 


【示例 6-34】 


从 上 面 的 命令 输出 中 可 以 看 到 软件 文件 中 包含 mysqld.service， 此 文件 就 是 MySQL 的 启 
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动 停止 控制 单元 。 


6.2.4 ”MySQL 源码 安装 


用 户 可 以 从 http://dev.mysql.com/Downloads/ 下 载 最 新 稳定 版 的 源 代码 , 本 章 以 5.6.24 为 例 
说 明 MySQL 的 安装 过 程 ， 其 他 版 本 的 安装 过 程 类 似 ， 如 【示例 6-35】 所 示 。 


【示例 6-35】 
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上 述 示例 表示 将 MySQL 软件 安装 到 /usr/local/mysql 目录 下 ， 本 示例 中 使 用 的 参数 及 其 仿 
义 如 下 : 


。 CMAKE INSTALL PREFIX: 表示 将 MySQL 安装 到 何 处 ， 此 例 中 将 安装 到 
/usr/local/mysql 目录 中 。 

MYSQL DATADIR: 表示 MySQL 的 数据 文件 存放 目录 。 

SYSCONFDIR: 配置 文件 所 在 目录 。 

WITH_MYISAM_ STORAGE_ENGINE: 将 MyISAM 存储 引擎 编译 到 服务 中 。 
WITH INNOBASE STORAGE_ ENGINE: 将 InnoDB 存储 引擎 编译 到 服务 中 。 
ENABLED_ LOCAL INFILE: 指定 是 否 允 许 本 地 执行 LOAD DATA INFILE。 
MYSQL_TCP_PORT: 默认 使 用 的 端口 。 
WITH_PARTITION_STORAGE_ENGINE: 将 分 区 引擎 编译 到 服务 中 。 
EXTRA_CHARSETS: 让 服务 支持 所 有 扩展 字符 集 。 

DEFAULT_CHARSET: 服务 使 用 的 默认 字符 集 ， 此 处 设置 为 utf8。 
DEFAULT_COLLATION: 默认 的 排序 规则 。 
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编译 安装 MySQL 时 有 许多 参数 ， 这 些 参数 的 详细 含义 和 说 明 可 以 在 官方 网 站 中 查找 : 
http://dev.mysql.com/doc/refman/5.6/en/source-configuration-options.html。 

完成 上 述 安装 步骤 还 不 够 ， 还 需要 为 MySQL 添加 配置 选项 、 启 动 停止 脚本 等 ， 一 个 简单 
的 示例 如 【示例 6-36】 所 示 。 


【示例 6-36】 
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画 本 小 节 仅 简单 介绍 配置 文件 等 内 容 ， 在 后 继 小 节 中 将 详细 介绍 这 些 内 容 。 


6.2.5 ”MySQL 程序 介绍 


MySQL 版 本 中 提供 了 几 种 类 型 的 命令 行 运用 程序 ， 主 要 有 以 下 几 类 : 
(1) MySQL 服务 器 和 服务 器 启动 脚本 


e mysqld 是 MySQL 服务 器 主 程序 。 
。 mysqld_safe、mysql.server 和 mysqld_multi 是 服务 器 启动 脚本 。 
e_ mysql _install db 是 初始 化 数据 目录 和 初始 数据 库 。 


(2) 访问 服务 器 的 客户 程序 


mysql 是 一 个 命令 行 客户 程序 ， 用 于 交互 式 或 以 批 处 理 模式 执行 SQL 语句 。 
mysqladmin 是 用 于 管理 功能 的 客户 程序 。 

mysqlcheck 执行 表 维护 操作 。 

mysqldump 和 mysqlhotcopy 负责 数据 库 备份 。 

mysqlimport 导入 数据 文件 。 

mysqlshow 显示 信息 数据 库 和 表 的 相关 信息 。 

mysqldumpslow 分 析 慢 查询 日 志 的 工具 。 


(3) 独立 于 服务 器 操作 的 工具 程序 


myisamchk 执行 表 维 护 操作 。 

myisampack 产生 压缩 、 只 读 的 表 。 
mysqlbinlog 查看 二 进 制 日 志文 件 的 实用 工具 。 
perror 显示 错误 代码 的 含义 。 
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除了 上 面 介绍 的 这 些 随 MySQL 一 起 发 布 的 命令 行 工具 外 ， 还 有 一 些 GUI 工具 ， 需 单独 
下 载 使 用 。 


6.2.6 ”MySQL 配置 文件 介绍 


如 果 使 用 rpm 包 安 装 ，MySQL 的 配置 文件 位 于 /etc/my.cnf。MySQL 配置 文件 的 搜索 顺序 
可 以 使 用 以 下 命令 查看 ， 如 【示例 6-37】 所 示 。 


【示例 6-37】 


[root@CentOsS Packages]# /usr/libexec/mysqld --help --verboselgrep -Bl1 -i 
"my.cnf" 

Default options are read from the following files in the given order: 

/etc/mysql/my.cnf /etc/my.cnf ~/.my.cnf 


上 述 示例 结果 表示 该 版 本 的 MySQL 搜索 配置 文件 的 路 径 依 次 为 /etc/mysql/my.cnf 
/etc/my.cnf ~/.my.cnf， 即 先 查找 /etcmysqlmy.cnf， 如 果 找 到 就 使 用 此 配置 文件 ， 否 则 继续 查找 
/etc/my.cnf， 直 到 找到 有 效 的 配置 文件 为 止 。 为 便于 管理 ， 在 只 有 一 个 MySQL 实例 的 情况 下 

- 般 将 配置 文件 部 署 在 /etc/my.cnf 中 。 
MySQL 配置 文件 常用 选项 (mysqld 选项 段 ) 说 明 如 表 6.2 所 示 。 


表 6.2 ”MySQL 配置 文件 常用 参数 说 明 


参数 说 明 


tmpdir MySQL 保存 临时 文件 的 路 径 

skip-external-locking 跳 过 外 部 锁定 

back log 在 MySQL 的 连接 请 求 等 待 队列 中 允许 存放 的 最 大 连接 数 
key buffer_ size 索引 缓冲 区 ， 决 定 了 myisam 数据 库 索引 处 理 的 速度 
max_connections MySQL 允许 的 最 大 连接 数 

max_connect_errors 客户 端 连 接 指定 次 数 后 ， 服 务 器 将 屏蔽 该 主机 的 连接 
table_cache 设置 表 高 速 缓存 的 数量 

max allowed packet 在 网 络 传输 中 ， 一 次 消息 传输 量 的 最 大 值 

binlog _ cache size 在 事务 过 程 中 容纳 二 进 制 日 志 SQL 语句 的 缓存 大 小 
sort_ buffer size 用 来 完成 排序 操作 的 线程 使 用 的 缓冲 区 大 小 

并 十 生 放生 将 为 两 个 表 之 间 的 每 个 完全 连接 分 配 连接 缓冲 区 
thread_cache size 线程 缓冲 区 所 能 容纳 的 最 大 线程 个 数 
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( 续 表 ) 
说 明 


thread concurrency 限制 了 一 次 有 多 少 线程 能 进入 内 核 


query _cache size 


为 缓存 查询 结果 分 配 的 内 存 的 数量 


query_cache limit 


车 查询 结果 超过 此 参数 设置 的 大 小 则 不 进行 缓存 


ft min word len 


加 入 索引 的 词 的 最 小 长 度 


thread_ stack 


每 个 连接 创建 时 分 配 的 内 存 


transaction isolation 


MySQL 数据 库 事务 隔离 级 别 


tmp_table_size 


临时 表 的 最 大 大 小 


net_buffer length 


服务 器 和 客户 之 间 通 信使 用 的 缓冲 区 长 度 


read_buffer size 对 数据 表 做 顺序 读 取 时 分 配 的 MySQL 读 入 缓冲 区 大 小 


default-storage-engine MySQL 创建 表 时 默认 的 字符 集 


i HEAP 表 允 许 的 最 大 值 


read rnd buffer size MySQL 随机 读 缓 冲 区 大 小 


log-bin MySQL 二 进 制 文件 binlog 的 路 径 和 文件 名 
server-id 主 从 同步 时 标识 唯一 的 MySQL 实例 
slow_query log 是 否 开启 慢 查 询 ， 为 1 表示 开启 


long_query_time 


log-queries-not-using-indexes 


超过 此 值 则 认为 是 慢 查 询 ， 记 录 到 慢 查 询 日 志 
若 SQL 语句 没有 使 用 索引 ， 则 将 SQL 语句 记录 到 慢 查询 日 志 中 


expire-logs-days MySQL 二 进 制 文件 binlog 保留 的 最 长 时 间 


replicate_wild ignore table 


replicate_wild_do _table 


MySQL 主 从 同步 时 忽略 的 表 
与 replicate_wild_ignore_table 相反 ， 指 定 MySQL 主 从 同步 时 需要 同步 的 表 


innodb_additional mem_ 
pool size 
innodb buffer pool size 


InnoDB 存储 的 数据 目录 信息 和 其 他 内 部 数据 结构 的 内 存 池 大 小 


InnoDB 存储 引擎 的 表 数 据 和 索引 数据 的 最 大 内 存 缓冲 区 大 小 


innodb file io_threads IO 操作 的 最 大 线程 个 数 
innodb thread concurency Innodb 并 发 线程 数 
innodb_flush log at trx_ Innodb 日 志 提交 方式 


commit 


innodb log buffer size 


InnoDB 日 志 缓冲 区 大 小 


innodb log file size 


InnoDB 日 志文 件 大 小 


innodb log files in group 


Innodb 日 志 个 数 


innodb max dirty pages_pct 


当 内 存 中 的 脏 页 量 达到 innodb_buffer pool 大 小 的 该 比例 (%) 时 ， 刷 新 脏 
页 到 磁盘 


innodb lock wait timeonut 


InnoDB 行 锁 导致 的 死 锁 等 待 时 间 


155 


CentOS 7.5 系统 管理 与 运 维 实战 


( 续 表 ) 
参数 说 明 


不 同 版 本 的 配置 文件 参数 及 使 用 方法 略 有 不 同 ， 具 体 可 参考 官方 网 站 帮助 文档 。 如 果 选 项 
名 称 配置 错误 ，MySQL 将 不 能 启动 。 


6.2.7 MySQL 启动 与 停止 

MySQL 服务 可 以 通过 多 种 方式 启动 ， 常 见 的 是 利用 MySQL 提供 的 系统 服务 脚本 启动 ， 
另外 一 种 是 通过 命令 行 mysqld_safe 启动 。 

1. 通过 系统 服务 启动 与 停止 

如 使 用 yum 工具 安装 ，rpm 包 会 自动 将 MySQL 设置 为 系统 服务 ， 同 时 可 以 利用 “service 
mysqld start” 启 动 。 查 看 MySQL 是 否 为 系统 服务 可 以 使 用 下 面 的 命令 ， 如 【示例 6-38】 所 示 。 

【示例 6-38】 


首先 利用 systemctl list-unit-files 查看 系统 服务 ， 显 示 结 果 为 disable， 表 示 MySQL 并 没有 
设置 为 开机 自动 启动 模式 。 可 以 通过 systemctl enable mysqld.service 将 mysqld 系统 服务 设置 为 
开机 自动 启动 。 

经 过 上 述 步骤 ，MySQL 成 为 系统 服务 并 且 开机 自动 启动 ， 如 需 启动 或 停止 MySQL， 可 
以 使 用 【示例 6-39】 中 的 命令 。 


【示例 6-39】 
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查看 通过 rpm 包 安 装 后 的 配置 文件 内 容 ， 分 别 指定 了 datadir、 socket 和 启动 后 以 什么 用 户 

运行 ， 然 后 利用 系统 服务 启动 MySQL， 命 令 为 “systemctl start mysqld.service”， 启 动 后 利用 

“systemctl status mysqld.service” 或 ps 命令 查看 MySQL 服务 状态 。 同 时 ps 命令 显示 了 更 多 
的 信息 。 


如 果 MySQL 服务 后 查看 相关 的 数据 目录 和 文件 ， 除 通过 配置 文件 外 ， 可 以 通过 ps 命令 


查看 ， 如 上 述 示例 中 的 datadir 位 于 /var/lib/mysql 目录 下 。 


MySQL 成 功 启动 后 可 以 进行 正常 的 操作 了 ,初始 化 用 户 名 为 “root” 密 码 为 空 ,使 用 mysql 
-uroot” 可 以 成 功 登 录 MySQL 。 
如 需 停止 MySQL， 可 以 通过 “systemctl stop mysqld.service” 的 方式 停止 MySQL。 


2. 利用 mysqld_safe 程序 启动 和 停止 MySQL 服务 


如 同一 系统 中 存在 多 个 MySQL 实例 ， 使 用 MySQL 提供 的 系统 服务 已 经 不 能 满足 要 求 ， 
这 时 可 以 通过 MySQL 安装 程序 提供 的 mysqld_safe 程序 启动 和 停止 MySQL 服务 。 

varlib/mysql 为 MySQL 服务 的 默认 数据 目录 ， 同 时 可 以 通过 配置 指定 其 他 数据 目录 。 假 
设 MySQL 数据 文件 目录 位 于 /data/mysql_data_ 3307， 端口 设置 为 3307。.【 示 例 6-40】 演 示 了 设 
置 启动 和 停止 过 程 。 


【示例 6-40】 
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上 述 示例 首先 创建 了 启动 MySQL 服务 需要 的 数据 目录 /data/mysql_data_3307， 创 建 完成 
后 通过 chown 将 目录 权限 赋 给 mysql 用 户 和 mysql 用 户 组 。 

mysql_install_db 程序 用 于 初始 化 MySQL 系统 表 ， 比 如 权限 管理 相关 的 mysql.user 表 等 ， 
初始 化 完成 以 后 利用 mysqld_safe 程序 启动 ， 由 于 此 示例 并 没有 使 用 配置 文件 ， 需 要 设置 的 参 
数 通 过 命令 行 参数 指定 ， 没 有 设置 的 参数 则 为 默认 值 。 

系统 启动 完成 后 可 以 通过 本 地 socket 方式 登录 ， 另 外 一 种 登录 方式 为 TCP 方式 登录 ， 这 
点 将 在 下 一 节 介绍 ， 登 录 命 令 为 “mysql -S /data/mysql_data_3307/mysql.sock -u root”。 登 录 完 
成 后 第 1 行为 欢迎 信息 ， 第 2 行 显示 MySQL 服务 给 当前 连接 分 配 的 连接 ID (ID 用 于 标识 唯 
一 的 连接 )。 接 着 显示 的 是 MySQL 版 本 信息 ， 然 后 是 版 权 声 明 。 同 时 给 出 了 查看 系统 帮助 的 
方法 。“\s” 命 令 显 示 了 MySQL 服务 的 基本 信息 ， 如 字符 集 、 启 动 时 间 、 查 询 数量 、 打 开 表 的 
数量 等 ， 更 多 的 信息 可 以 查阅 MySQL 帮助 文档 。 

以 上 示例 演示 了 如 何 通过 mysqld_safe 命令 启动 MySQL 服务 ， 如 需 停止 ， 可 以 使 用 【 示 
例 6-41】 中 的 方法 。 


【示例 6-41】 


通过 命令 mysqladmin 可 以 方便 地 控制 MySQL 服务 的 停止 。 同 时 mysqladmin 支持 更 多 的 
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参数 ， 比 如 查看 系统 变量 信息 、 查 看 当前 服务 的 连接 等 ， 更 多 信息 可 以 通过 
“mysqladmin -help” 命 令 查看 。 
除 通 过 本 地 socket 程序 可 以 停止 MySQL 服务 外 ,还 可 以 通过 远程 TCP 停止 MySQL 服务 ， 
前 提 为 该 账号 具有 shutdown 权限 ， 如 【示例 6-42】 所 示 。 


【示例 6-42】 


[对 现 。 由 于 具有 shutdown 等 权限 的 用 户 可 以 远程 停止 MySQL 服务 ， 因 此 日 常 应 用 中 应 该 避免 ] 
_ 分 配 具 有 此 权限 的 账户 。 


0 .3 pHp 安装 与 配置 


PHP 的 安装 同样 需要 经 过 环境 检查 、 编 译 和 安装 3 个 步骤 ， 本 节 采 用 的 PHP 版 本 为 
php-5.4.16.targz， 安 装 过 程 如 【示例 6-43】 所 示 。 


【示例 6-43】 


161 


CentOS 7.5 系统 管理 与 运 维 实战 。 前 


“--enable-fastcgi” 的 含义 为 开启 PHP 的 FastCGI 支持 ， 另 外 一 种 开启 FastCGI 支持 的 方 
式 为 指定 “--enable-fpm” 参 数 。 


0 .4 LAMP 集成 安装 、 配 置 与 测试 实战 


上 面 章节 已 经 分 别 介绍 了 MySQL、Apache 的 安装 与 设置 。 本 节 主 要 介绍 Linux 环境 下 利 
用 源码 Apache、MySQL、PHP 的 集成 环境 的 安装 过 程 。 

PHP 为 “Professional Hypertext Preprocessor” 的 缩写 ， 最 新 发 布 版 本 为 5.6.7， 此 版 本 包含 
了 大 量 的 新 功能 和 bug 修复 ， 特 别 注意 的 一 点 是 不 再 支持 Windows XP 和 2003 系统 。PHP 具 
有 非常 强大 的 功能 ， 所 有 的 CGI 的 功能 PHP 都 能 实现 ， 支 持 几乎 所 有 流行 的 数据 库 以 及 操作 
系统 。 和 其 他 技术 相 比 ，PHP 本 身 免费 且 是 开源 代码 。PHP 可 以 被 嵌入 于 HTML 语言 ， 相 对 
于 其 他 语言 ， 编 辑 简单 ， 实 用 性 强 ， 更 适合 初学 者 。PHP 运行 在 服务 器 端 ， 可 以 部 署 在 UNIX、 
Linux、Windows、Mac OS 下 。 另 外 ，PHP 支持 面向 对 象 编程 。 本 节 主 要 以 php5.4.16 源码 安 
装 为 例 说 明 PHP 的 安装 过 程 ， 因 不 同 版 本 之 间 有 特定 差别 ， 需 要 根据 业务 特性 选择 合适 的 版 
本 。 

从 源 代码 安装 Apache、MySQL、PHP。PHP 用 户 可 以 从 http://www.php.net 下 载 最 新 稳定 
版 的 源 代码 。PHP 可 以 支持 很 多 扩展 ， 本 节 软 件 安装 涉及 的 软件 包 列表 如 【示例 6-44】 所 示 。 


【示例 6-44】 


安装 过 程 如 【示例 6-45】 所 示 。 
【示例 6-45】 
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经 过 以 上 步骤 ，Apache、MySQL 和 PHP 环境 需要 的 软件 已 经 安装 完毕 ， 如 需 Apache 支 
持 PHP， 还 需 做 以 下 设置 。 修 改 httpd.conf， 加 入 以 下 配置 ， 如 【示例 6-46】 所 示 。 


【示例 6-46】 


然后 像 6.1.3 小 节 中 那样 配置 /etc/hosts， 设 置 域名 解析 和 虚拟 主机 文件 。 配 置 虚拟 主机 文 
件 如 【示例 6-47】 所 示 。 


【示例 6-47】 
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重启 Apache 服务 ， 然 后 编辑 测试 脚本 ， 如 【示例 6-48】 所 示 。 
【示例 6-48】 


然后 就 可 以 进行 浏览 器 的 测试 了 ， 输 入 http://www.testdomain.com/test.php 访问 ， 浏 览 器 
中 的 显示 界面 如 图 6.5 所 示 ， 说 明 PHP 已 经 安装 成 功 。 


6.5 PHP 测试 页 面 


0 .5 MysQL 日 常 维护 


搭建 好 LAMP 后 ， 还 要 注意 MySQL 的 日 常 维护 ， 包 含 权 限 管理 、 日 志 管 理 、 备 份 与 恢 
复 和 复制 等 ， 本 节 主 要 介绍 这 方面 的 知识 。 
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MySQL 权限 管理 基于 主机 名 、 用 户 名 和 数据 库 表 ， 可 以 根据 不 同 的 主机 名 、 用 户 名 和 数 
据 库 表 分 配 不 同 的 权限 。 当 用 户 连接 至 MySQL 服务 器 后 ， 权 限 即 被 确定 ， 用 户 只 能 做 权限 内 
的 操作 。 

MySQL 账户 权限 信息 被 存储 在 MySQL 数据 库 的 user、 db、host、 tables_priv、 columns_priv 
和 procs_priv 表 中 ， 在 MySQL 启动 时 服务 器 将 这 些 数据 库 表 内 容 读 入 内 存 。 要 修改 一 个 用 户 
的 权限 ， 可 以 直接 修改 上 面 的 几 个 表 ， 也 可 以 使 用 GRANT 和 REVOKE 语句 , 推荐 使 用 后 者 。 
如 需 添 加 新 账号 ， 可 以 使 用 GRANT 语句 。MySQL 的 常见 权限 说 明 如 表 6.3 所 示 。 


表 6.3 MySQL 权限 说 明 
参数 说 明 
创建 和 删除 案 引 


CREATE TEMPORARY TABLES | 创建 临时 表 

LOCK TABLES 锁定 表格 

CREATE USER 创建 用 户 

PROCESS 管理 服务 器 和 客户 连接 进程 
RELOAD 重 载 服务 

REPLICATION CLIENT 用 于 复制 

REPLICATION SLAVE 用 于 复制 

SHOW DATABASES 显示 数据 库 

SHUTDOWN 关闭 服务 器 

SUPER 超级 用 户 
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1. 分 配 账号 


若 主机 192.168.1.12 需要 远程 访问 MySQL 服务 器 的 account.users 表 ， 权限 为 SELECT 和 
UPDATE， 则 可 使 用 以 下 命令 分 配 ， 操 作 过 程 如 【示例 6-49】 所 示 。 


【示例 6-49】 
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上 述 示例 为 MySQL 服务 器 给 远程 主机 192.168.1.12 分 配 了 访问 表 accoutusers 的 查询 和 更 
新 权限 。 当 用 户 登 录 时 ， 首 先 检查 user 表 ， 发 现 对 应 记录 ， 但 由 于 各 个 权限 都 为 “N”， 因 此 
继续 寻找 db 表 中 的 记录 ， 若 没有 则 继续 寻找 tables_priv 表 中 的 记录 ， 通 过 对 比 发 现 当前 连接 
的 账户 具有 account.users 表 的 SELECT 和 UPDATE 权限 ， 权 限 验 证 通过 ， 用 户 成 功 登录 。 


MySQL 权限 按照 user-db 一 tables_priv 一 columns_priv 检查 的 顺序 , 如果 user 表 中 对 应 的 
权限 为 “Y”， 就 不 会 检查 后 面 表 中 的 权限 。 


2. 查看 或 修改 账户 权限 
如 需 查看 当前 用 户 的 权限 ， 可 以 使 用 SHOW GRANTS FOR 命令 ， 如 【示例 6-50】 所 示 。 
【示例 6-50】 
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上 述 示例 通过 查看 指定 账户 和 主机 的 权限 ，user1@192.168.1.12 具有 的 权限 为 三 条 记录 的 
综合 。 密 码 为 经 过 MD5 算法 加 密 后 的 结果 。USAGE 权限 表示 当前 用 户 只 具有 连接 数据 库 的 
权限 ， 但 不 能 操作 数据 库 表 ， 其 他 记录 表示 该 账户 具有 表 “bbs.*” 和 表 account.users 的 查询 
和 更 新 权限 。 


MySQL 用 户 登 录 成 功 后 权限 加 载 到 内 存 中 ， 此 时 如 果 在 另 一 会 话 中 更 改 该 账户 的 权限 并 
不 会 影响 之 前 会 话 中 用 户 的 权限 ， 如 需 使 用 最 新 的 权限 ， 用 户 需要 重新 登录 。 


3. 回收 账户 权限 


如 需 回收 账户 的 权限 ，MySQL 提供 了 REVOKE 命令 ， 可 以 对 应 账户 的 部 分 或 全 部 权限 ， 
注意 此 权限 操作 的 账户 需 具有 GRANT 权限 。 使 用 方法 如 【示例 6-51】 所 示 。 


【示例 6-51】 


账户 所 有 权限 回收 后 用 户 仍然 可 以 连接 该 MySQL 服务 器 ， 如 需 彻底 删除 用 户 ， 可 以 使 用 
DROP USER 命令 ， 如 【示例 6-52】 所 示 。 


【示例 6-52】 
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6.5.2 MySQL 日 志 管 理 


MySQL 服务 提供 了 多 种 日 志 ， 用 于 记录 数据 库 的 各 种 操作 ， 通 过 日 志 可 以 追踪 MySQL 
服务 器 的 运行 状态 , 及 时 发 现 服务 运行 中 的 各 种 问题 。 MySQL 服务 支持 的 日 志 有 二 进 制 日 志 、 
错误 日 志 、 访 问 日 志和 慢 查询 日 志 。 


1. 二 进 制 日 志 


二 进 制 日 志 也 通常 被 称 为 binlog， 记 录 了 数据 库 表 的 所 有 DDL 和 DML 操作 ， 但 并 不 包 
括 数据 查询 语句 。 

如 需 启 用 二 进 制 日 志 ， 可 以 通过 在 配置 文件 中 添加 “--log-bin=[file-name]” 选 项 指定 二 进 
制 文件 存放 的 位 置 ( 相 对 路 径 或 绝对 路 径 均 可 )。 

binlog 以 二 进 制 方式 存储 ， 如 需 查 看 其 内 容 ， 可 通过 MySQL 提供 的 工具 mysqlbinlog 查 
看 ， 如 【示例 6-53】 所 示 。 


【示例 6-53】 
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第 5 行 记录 了 当前 MySQL 服务 的 serverid、 偏 移 量 、binlog 版 本 、MySQL 版 本 等 信息 ， 
第 26~28 行 记录 了 执行 的 SQL 及 时 间 。 

如 需 删 除 binlog， 可 以 使 用 “purge binary logs” 命 令 ， 该 命令 可 以 指定 删除 的 binlog 序号 
或 删除 指定 时 间 之 前 的 日 志 ， 如 【示例 6-54】 所 示 。 


【示例 6-54】 


除 通过 以 上 方法 外 ， 可 以 在 配置 文件 中 指定 “expire_logs_days=#” 参 数 设 置 二 进 制 文件 
的 保留 天 数 。 此 参数 也 可 以 通过 MySQL 变量 设置 ,如 需 删除 7 天 之 前 的 binlog， 可 以 使 用 【 示 
例 6-55】 的 命令 。 


【示例 6-55】 


此 参数 设置 了 binlog 日 志 的 过 期 天 数 , 此 时 MySQL 可 以 自动 清理 指定 天 数 之 前 的 二 进 制 
日 志文 件 。 


2. 操作 错误 日 志 


MySQL 的 操作 错误 日 志 记录 了 MySQL 启动 、 运 行 至 停止 过 程 中 的 相关 异常 信息 ， 在 
MySQL 故障 定位 方面 有 重要 的 作用 。 

可 以 通过 在 配置 文件 中 设置 “--log-error=[file-name] ”指定 错误 日 志 存 放 的 位 置 ， 若 没有 
设置 ， 则 错误 日 志 默认 位 于 MySQL 服务 的 datadir 目录 下 。 

一 段 错误 日 志 如 【示例 6-56】 所 示 。 


【示例 6-56】 
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以 上 日 志 信 息 记录 了 第 1 次 运行 MySQL 时 的 错误 信息 ,其 中 第 2~3 行 的 错误 信息 说 明 在 
启动 MySQL 之 前 并 没有 初始 化 MySQL 系统 表 ， 错 误 码 13 对 应 的 错误 提示 可 以 使 用 命令 
“perror 13” 查 看 。 第 21~23 行 说 明 系 统 中 已 经 启动 了 同样 端口 的 实例 ， 当 前 启动 的 MySQL 
实例 将 自动 退出 。 


3. 访问 日 志 


此 日 志 记 录 了 所 有 关于 客户 端 发 起 的 连接 、 查 询 和 更 新 语句 ， 由 于 其 记录 了 所 有 操作 ， 因 
此 在 相对 繁忙 的 系统 中 建议 将 此 设置 关闭 。 

该 日 志 可 以 通过 在 配置 文件 中 设置 “--log=[file-name]” 指 定 访问 日 志 存放 的 位 置 ， 也 可 
以 在 登录 MySQL 实例 后 通过 设置 变量 启用 ， 如 【示例 6-57】 所 示 。 


【示例 6-57】 
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如 果 没 有 指定 [file-name]， 默 认 将 主机 名 (hostname ) 作为 文件 名 ， 默 认 存 放 在 数据 目录 
中 。 文 件 记录 内 容 如 【示例 6-58】 所 示 。 


【示例 6-58】 


上 述 日 志 记录 了 所 有 客户 端的 操作 ， 系 统管 理 员 可 根据 此 日 志 发 现 异 常 信息 , 以 便 及 时 处 理 。 
4. 慢 查询 日 志 


慢 查 询 日 志 是 记录 了 执行 时 间 超 过 参数 long_query_time (单位 是 秒 ) 所 设 定 值 的 SQL 语 
名 日志， 对 于 SQL 审核 和 开发 者 发 现 性 能 问题 及 时 进行 应 用 程序 的 优化 具有 重要 意义 。 

如 需 启用 该 日 志 ， 可 以 在 配置 文件 中 设置 “slow_query log”， 用 来 指定 是 否 开启 慢 查 询 。 
如 果 没 有 指定 文件 名 ， 默 认 hostname-slow.log 作为 文件 名 ， 并 存放 在 数据 目录 中 。 示 例 配置 
如 下 所 示 。 
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【示例 6-59】 


说 明 : 


elong query_time =1# 定 义 超过 1 秒 的 查询 计数 到 变量 Slow_queries。 

® log-slow-queries = /usr/local/mysql/data/slow.log # 定 义 慢 查询 日 志 路 径 。 

® log-queries-not-using-indexes# 未 使 用 索引 的 查询 也 被 记录 到 慢 查 询 日 志 中 (可 选 ) 。 

MySQL 提供 了 慢 查 询 日 志 分 析 的 工具 mysqldumpslow， 可 以 按时 间或 出 现 次 数 统计 慢 查 
询 的 情况 ， 常 用 参数 如 表 6.4 所 示 。 


表 6.4 mysqldumpslow 参数 说 明 


排序 参数 ， 可 选 的 有 : 
。 al: 平均 锁定 时 间 


e ar: 平均 返回 记录 数 
e at: 平均 查询 时 间 


[| 只 显示 指定 的 行 数 


用 此 工具 就 可 以 分 析 系 统 中 哪些 SQL 是 性 能 的 瓶颈 ， 以 便 进 行 优化 ， 比 如 加 索引 、 优 化 
应 用 程序 等 。 


6.5.3 MySQL 备份 与 恢复 


为 防止 数据 库 数 据 丢失 或 被 非法 算 改 时 恢复 数据 ， 数 据 库 的 备份 是 非常 重要 的 。MySQL 
的 备份 方式 可 以 通过 直接 备份 数据 文件 或 使 用 mysqldump 命 令 将 数据 库 数据 导出 到 文本 文件 。 
直接 备份 数据 库 文件 适用 于 MyISAM 和 InnoDB 存储 引擎 ， 由 于 备份 时 数据 库 表 正 在 读 写 ， 
备份 出 的 文件 可 能 损坏 无 法 使 用 , 不 推荐 直接 使 用 此 方法 。 另外 一 种 可 以 实时 备份 的 开源 工具 
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为 xtrabackup。 本 节 主 要 介绍 这 两 种 备份 工具 的 使 用 。 
1. 使 用 mysqldump 进行 MySQL 备份 与 恢复 


mysqldump 是 MySQL 提供 的 数据 导出 工具 ， 适 用 于 大 多 数 需 要 备份 数据 的 场景 。 表 数据 
可 以 导出 成 SQL 语句 或 文本 文件 ， 常 用 的 使 用 方法 如 【示例 6-60】 所 示 。 


【示例 6-60】 


mysqldump 支持 丰富 的 选项 ， 部 分 选项 说 明 如 表 6.5 所 示 。 
表 6.5 mysqldump 部 分 选项 说 明 


参数 说 明 

区 等 同 于 --all-databases， 导 出 全 部 数据 库 

--add-drop-database ”| 每 个 数据 库 创建 之 前 添加 drop 语句 

--add-drop-table 每 个 数据 表 创建 之 前 添加 drop 表 语 名 ， 默 认为 启用 状态 

--add-locks 在 每 个 表 导 出 之 前 增加 LOCK TABLES 并 且 之 后 UNLOCK TABLE， 默 认为 启 
用 状态 

-c 等 同 于 --complete-insert， 导 出 时 使 用 完整 的 insert 语句 

-B 等 同 于 --databases， 导 出 多 个 数据 库 

--default-character-set | 设置 默认 字符 集 

-x 等 同 于 --lock-all-tables， 提 交 请 求 锁定 所 有 数据 库 中 的 所 有 表 ， 以 保证 数据 的 一 致 性 

可 等 同 于 --lock-tables， 开 始 导出 前 ， 锁 定 所 有 表 

an 等 同 于 -no-create-db， 只 导出 数据 ， 而 不 添加 CREATE DATABASE 语句 

-t 等 同 于 -no-create-info， 只 导出 数据 ， 而 不 添加 CREATE TABLE 语句 

-d 等 同 于 -no-data， 不 导出 任何 数据 ， 只 导出 数据 库 表 结 构 

--tables 此 参数 会 覆盖 --databases (-B) 参 数 ， 指 定 需 要 导出 的 表 名 

-Ww 等 同 于 -WHERE， 只 导出 给 定 的 WHERE 条 件 选择 的 记录 


表 6.5 中 只 给 出 了 mysqldump 常用 参数 的 说 明 ， 更 多 的 参数 含义 说 明 可 参考 系统 帮助 


“man mysqldump”。 
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2. 使 用 xtrabackup 在 线 备 份 


使 用 mysqldump 进行 数据 库 或 表 的 备份 非常 方便 ， 操 作 简单 ， 使 用 灵活 。 数 据 量 小 时 ， 
备份 和 恢复 时 间 可 以 接受 ; 如果 数 据 量 较 大 ，mysqldump 恢复 的 时 间 会 很 长 ， 难 以 接受 。 
xtrabackup 是 一 款 高 效 的 备份 工具 ， 备 份 时 并 不 会 影响 原 数 据 库 的 正常 更 新 ， 最 新 的 版 本 可 以 
在 http://www.percona.com/downloads/ 下 载 。xtrabackup 提供 了 Linux 下 常见 的 安装 方式 ， 包 括 
RPM 安装 、 源 码 编译 方式 以 及 二 进 制版 本 安装 。 本 节 以 源码 安装 percona-xtrabackup-2.0.7 为 
例 说 明 Xtrabackup 的 使 用 方法 ， 如 【示例 6-61】 所 示 。 


【示例 6-61】 
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营建 LAMP 服务 


首先 解压 源码 包 ， 然 后 使 用 提供 的 .Jutils/build.sh 工具 进行 编译 安装 ， 编 译 时 需要 指定 版 本 
的 MySQL 源码 ， 比 如 mysql-5.1.59.tar.gz。 源 码 可 以 从 MySQL 官方 网 站 下 载 ， 然 后 复制 到 指 
定 目录 ， 执 行 编译 。 编 译 时 可 以 指定 MySQL 5.1 和 MySQL 5.5。 编 译 完成 后 二 进 制 文件 位 于 
src 目录 下 ， 复 制 到 指定 位 置 。 

通过 设置 环境 变量 PATH 指定 二 进 制 文件 的 寻找 路 径 ， 然 后 执行 innobackupex 脚本 备份 
文件 ， 脚 本 执行 时 指定 了 MySQL 实例 的 配置 文件 和 登录 方式 ， 如 该 备份 程序 从 库 上 运行 ， 可 
以 指定 --slave-info 参数 ， 用 于 记录 备份 完成 时 同步 的 位 置 。 当 出 现 “innobackupex: completed 
OK!” 时 说 明 备 份 成 功 。 文 件 的 位 置 位 于 /data/backup/2015-08-22_12-13-16 目录 下 。 

恢复 过 程 如 【示例 6-62】 所 示 。 


【示例 6-62】 
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6.5.4 MySQL 复制 


借助 MySQL 提供 的 复制 功能 ， 应 用 者 可 以 经 济 高 效 地 提高 应 用 程序 的 性 能 、 扩 展 力 和 高 
可 用 性 。 全球 许 多 流量 最 大 的 网 站 都 通过 MySQL 复制 来 支持 数 以 亿 计 、 呈 指数 级 增长 的 用 户 
群 ， 其 中 不 乏 eBay、Facebook、Tumblr、Twitter 和 YouTube 等 互联 网 巨头 。MySQL 复制 ， 既 
支持 简单 的 主 从 拓扑 ， 也 可 实现 复杂 、 极 具 可 伸缩 性 的 链 式 集群 。 


当 使 用 MySQL 复制 时 ， 所 有 对 复制 中 的 表 的 更 新 必须 在 主 服务 器 上 进行 ， 否 则 可 能 引起 


主 服 务 器 上 的 表 更 新 与 从 服务 器 上 的 表 更 新 产生 冲突 。 


利用 MySQL 的 复制 有 以 下 好 处 : 


(1) 增加 MySQL 服务 健壮 性 
数据 库 复制 功能 实现 了 主 服务 器 与 从 服务 器 之 间 数 据 的 同步 ， 增 加 了 数据 库 系统 的 可 用 
性 。 当 主 服务 器 出 现 问题 时 , 数据 库 管理 员 可 以 马上 让 从 服务 器 作为 主 服务 器 , 以 便 接管 服务 。 
之 后 有 充足 的 时 间 检 查 主 服务 器 的 故障 。 


(2) 实现 负载 均衡 

通过 在 主 服务 器 和 从 服务 器 之 间 实现 读 写 分 离 , 可 以 更 快 地 响应 客户 端的 请 求 , 如 主 服务 
器 上 只 实现 数据 的 更 新 操作 ， 包 括 数 据 记 录 的 更 新 、 删 除 、 插 入 等 操作 ， 而 不 关心 数据 的 查询 
请 求 。 数 据 库 管理 员 将 数据 的 查询 请 求全 部 转发 到 从 服务 器 中 ， 同 时 通过 设置 多 台 从 服务 器 ， 
处 理 用 户 的 查询 请 求 。 

通过 将 数据 更 新 与 查询 分 别 放 在 不 同 的 服务 器 上 进行 ， 既 可 以 提高 数据 的 安全 性 , 也 可 以 
缩短 应 用 程序 的 响应 时 间 、 提 高 系统 的 性 能 。 用 户 可 根据 数据 库 服务 的 负载 情况 灵活 、 弹 性 地 
添加 或 删除 实例 ， 以 便 动态 按 需 调整 容量 。 


(3) 实现 数据 备份 
首先 通过 MySQL 的 实时 复制 数据 从 主 服务 器 上 复制 到 从 服务 器 上 , 从 服务 器 可 以 设置 在 
本 地 ， 也 可 以 设置 在 异地 ， 从 而 增加 了 容 灾 的 健壮 性 。 为 避免 异地 传输 速度 过 慢 ，MySQL 服 
务 器 可 以 通过 设置 参数 slave_compressed_protocol 启用 binlog 压缩 传输 ， 数 据 传输 效率 大 大 提 
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高 ， 通 过 异地 备份 增加 了 数据 的 安全 性 。 

当 使 用 mysqldump 导出 数据 进行 备份 时 ， 如 果 作用 于 主 服务 器 可 能 会 影响 主 服务 器 的 服 
务 , 而 在 从 服务 器 进行 数据 的 导出 操作 不 但 能 达到 数据 备份 的 目的 , 而 且 不 会 影响 主 服务 器 上 
的 客户 请 求 。 

MySQL 使 用 3 个 线程 来 执行 复制 功能 , 其 中 1 个 在 主 服务 器 上 , 另外 2 个 在 从 服务 器 上 。 
当 执 行 START SLAVE 时 , 主 服务 器 创建 一 线程 , 负责 发 送 二 进 制 日 志 。 从 服务 器 创建 一 个 IO 
线程 , 负责 读 取 主 服务 器 上 的 二 进 制 日 志 , 然后 将 该 数据 保存 到 从 服务 器 数据 目录 中 的 中 继 日 
志文 件 中 。 从 服务 器 的 SQL 线程 负责 读 取 中 继 日 志 并 重 做 日 志 中 包含 的 更 新 ， 从 而 达到 主 从 
数据 库 数 据 的 一 致 性 。 整 个 过 程 如 【示例 6-63 】 所 示 。 


【示例 6-63】 
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这 里 , 线程 2 是 一 个 连接 从 服务 器 的 复制 线程 。 该 信息 表示 所 有 主要 更 新 已 经 被 发 送 到 从 
服务 器 ， 主 服务 器 正 等 待 更 多 的 更 新 出 现 。 

该 信息 表示 线程 5 是 同 主 服务 器 通信 的 IO 线程 , 线程 6 是 处 理 保 存在 中 继 日 志 中 的 更 新 
的 SQL 线程 。SHOW PROCESSLIST 运行 时 ， 两 个 线程 均 空闲 ， 等 待 其 他 更 新 。 


一 Time 列 的 值 可 以 显示 从 服务 器 比 主 服务 器 滞后 多 长 时 间 。 


6.5.5 ”MySQL 复制 搭建 过 程 


本 节 示 例 涉及 的 主 MySQL 服务 器 为 192.168.19.101:3306 ， 从 MySQL 服务 器 为 
192.168.19.102:3306， 为 便于 演示 主 从 复制 的 部 署 过 程 ， 以 上 两 个 实例 都 为 新 部 署 的 实例 。 


(1) 确认 主 从 服务 器 上 安装 了 相同 版 本 的 数据 库 ， 本 节 以 MySQL 5.1.71 为 例 。 
(2) 确认 主 从 服务 器 已 经 启动 并 正常 提供 服务 。 主 从 服务 器 的 关键 配置 如 下 : 


【示例 6-64】 


(3) 在 MySQL 主 服务 器 上 ， 分 配 一 个 复制 使 用 的 账户 给 MySQL 从 服务 器 ， 并 授予 


replication slave 权限 。 


【示例 6-65】 


(4) 登录 主 服务 器 ， 得 到 当前 binlog 的 文件 名 和 偏 移 量 。 
【示例 6-66】 
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(5) 登录 从 服务 器 ， 设 置 主 备 关系 。 
对 从 数据 库 服务 器 做 相应 的 设置 ， 指 定 复制 使 用 的 用 户 、 主 服务 器 的 IP、 端 口 ， 开 始 执 
行 复制 的 文件 和 偏 移 量 等 。 


【示例 6-67】 


(6) 登录 从 服务 器 ， 启 动 slave 线程 并 检查 同步 状态 。 
【示例 6-68】 
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Slave_IO_Running 和 Slave_SQL_Running 都 为 YES， 说 明 主 从 服务 器 已 经 正常 工作 。 若 
其 中 一 个 为 NO， 则 需 根据 Last_ IO_Errmo 和 Last_IO_Error 显示 的 信息 定位 主 从 同步 失败 的 原 
因 。 


(7) 主 从 同步 测试 。 
【示例 6-69】 
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首先 登录 主 数据 库 ， 然 后 创建 表 ， 同 时 此 语句 会 写 入 到 主 数据 库 的 binlog 日 志 中 ， 从 数 
据 库 的 IO 线程 读 取 到 该 日 志 写 入 到 本 地 的 中 继 日 志 ， 从 数据 库 的 SQL 线程 重新 执行 该 语句 ， 
从 而 实现 主 从 数据 库 数据 一 致 。 


0.6 小 结 


本 章 首先 介绍 了 HTTP 协议 , 通过 此 协议 , 读者 可 以 了 解 HTTP 的 原理 及 其 常见 返回 码 代 
表 的 含义 ， 返 回 码 在 日 常 程 序 调试 中 具有 重要 的 作用 。 通 过 介绍 Apache 服务 安装 与 配置 ， 读 
者 了 解 了 Apache 服务 常见 的 3 种 虚拟 主机 配置 方法 ， 其 中 基于 域名 的 虚拟 主机 配置 是 使 用 比 
较 广 泛 的 一 种 ， 需 重点 掌握 。 通 过 PHP 的 安装 与 配置 介绍 了 PHP 如 何 与 Apache 服务 集成 ， 
集成 后 就 可 以 通过 Apache 访问 PHP 文件 了 ， 最 后 针对 MySQL 的 日 常 维护 给 出 了 操作 示例 。 
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Web 服务 除了 常见 的 LAMP (Linux+Apache+MySQL+PHP) 架构 外 ， 另 外 一 种 应 用 比较 
广泛 的 架构 是 LNMP (Linux+Nginx+MySQL+PHP)。Nginx 是 一 款 轻 量 级 的 Web 服务 软件 ， 
同时 支持 负载 均衡 和 反 向 代理 。 因 为 Nginx 并 发 能 力 很 强 ,所 以 国内 很 多 大 型 公司 都 使 用 Nginx 
作为 Web 服务 器 。 

本 章 首先 介绍 LNMP 涉及 的 相关 软件 的 安装 与 管理 ， 然 后 介绍 Nginx 的 负载 均衡 和 反 向 
代理 ， 接 着 介绍 Nginx 和 PHP 的 两 种 集成 方式 ， 最 后 通过 PHP 操作 MySQL 的 实战 案例 ， 使 
读者 了 解 如 何 通过 PHP 实现 MySQL 数据 库 表 的 增 、 删 、 改 、 查 功能 。 

本 章 主要 涉及 的 知识 点 有 : 


LNMP 服务 安装 与 管理 

Nginx 负载 均衡 与 反 向 代理 

掌握 Nginx 与 PHP 集成 的 两 种 方式 
掌握 如 何 通过 PHP 操作 MySQL 数据 库 


/ .| LNMpP 服务 安装 与 管理 


本 节 主 要 介绍 常见 的 LNMP 服务 的 安装 与 管理 。 与 Apache 相 比 ，Nginx 的 安装 包 更 轻 量 
级 。 
7.1.1 Nginx 的 安装 与 管理 


Nginx 软件 的 安装 主要 经 过 3 个 步骤 : 检查 系统 软件 环境 、 编 译 源码 和 安装 。Nginx 的 最 
新 版 本 可 以 从 http://nginx.org/ 下 载 ， 其 中 1.6.3 为 稳定 版 ，1.7.12 为 开发 版 。 本 节 以 Nginx 的 
1.6.3 版 本 为 例 说 明 Nginx 的 安装 过 程 。 


1. Nginx 安装 


安装 Nginx 之 前 ， 首 先 需 要 安装 PCRE (Perl Compatible Regular Expressions)。PCRE 为 


CentOS 7.5 系统 管理 与 运 维 实战 


Perl 语言 兼容 正则 表达 式 ， 主 要 用 C 语言 编写 ， 被 很 多 开源 软件 所 采用 。 详 细 的 安装 过 程 如 
【示例 7-1】 所 示 。 


【示例 7-1】 


通过 以 上 步骤 完成 了 PCRE 和 Nginx 软件 的 安装 ， 两 者 的 安装 与 普通 软件 安装 类 似 ， 并 
不 需要 特殊 设置 。Nginx 安装 时 依赖 zlib 和 zlib-devel， 因 此 需要 提前 安装 这 两 个 软件 。 
Nginx 安装 完 后 位 于 /usrlocalnginx 目录 下 ， 目 录 结 构 如 【示例 7-2】 所 示 。 


【示例 7-2】 
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Nginx 服务 的 主要 文件 为 sbin/nginx， 此 程序 为 Nginx 主 程序 。Nginx 的 主要 配置 文件 
为 ./conf/nginx.conf， 此 文件 类 似 Apache 服务 的 配置 文件 httpd.conf。 


2. Nginx 虚拟 主机 设置 


同 Apache 类 似 ，Nginx 支持 多 种 虚拟 主机 配置 方式 ， 如 基于 端口 的 虚拟 主机 配置 、 基 于 
IP 的 虚拟 主机 配置 和 基于 域名 的 虚拟 主机 配置 。 本 节 主 要 以 基于 域名 的 虚拟 主机 配置 为 例 说 
明 如 何在 Nginx 下 完成 基于 域名 的 虚拟 主机 配置 。 详 细 的 设置 过 程 与 配置 文件 如 【示例 7-3】 
所 示 。 


【示例 7-3】 
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该 示例 中 首先 创建 了 虚拟 主机 配置 文件 www:testcom.conf， 在 此 文件 中 采用 了 基于 域名 
的 虚拟 主机 配置 。 每 行 的 主要 含义 如 下 : 


第 1 行为 虚拟 主机 配置 标识 ， 此 标识 类 似 Apache 服务 中 的 VirtualHost。 
第 2 行 指定 了 该 虚拟 主机 监听 的 IP 和 端口 。 

第 3 行为 虚拟 主机 对 应 的 域名 ， 如 果 配 置 多 个 域名 ， 可 以 用 空格 分 开 。 
第 5~6 行 指定 了 Nginx 的 日 志 配置 。 

第 8~11 行 指定 了 虚拟 主机 的 主 目录 和 默认 文件 。 


7.1.2 PHP 安装 


PHP 的 安装 同样 需要 经 过 环境 检查 、 编 译 和 安装 3 个 步 又， 这 在 第 6 章 中 已 经 介绍 过 ， 
本 节 采 用 php-5.4.16.tar.gz 做 简单 示例 ， 如 【示例 7-4】 所 示 。 


【示例 7-4】 
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“--enable-fastcgi” 含 义 为 开启 PHP 的 FastCGI 支持 ， 另 外 一 种 开启 FastCGI 支持 的 方式 
为 指定 “--enable-fpm” 参 数 。 在 Apache 中 将 PHP 作为 一 个 模块 进行 加 载 ， 而 Nginx 通常 是 
将 PHP 请 求 发 送 给 FastCGI 进程 处 理 ， 因 此 安装 时 需要 使 用 上 述 参 数 。 更 多 参数 及 更 详细 的 
定制 方法 可 以 参考 第 6 章 中 的 相关 章节 。 


荔 MySQL 安装 方法 与 第 6 章 中 介绍 的 方法 相同 ， 此 处 不 再 歼 述 。 


/ .2 Nginx 负载 均衡 与 反 向 代理 


Nginx 是 一 款 优秀 的 Web 软件 ， 同 时 支持 负载 均衡 和 反 向 代理 功能 ， 本 节 主 要 介绍 Nginx 
的 负载 均衡 和 反 向 代理 相关 的 设置 。 


7.2.1 Nginx 负载 均衡 设置 


Nginx 除 作 为 Web 服务 器 外 ， 也 支持 多 种 负载 均衡 算法 。 常 见 的 算法 有 轮 询 、 权 重 、IP 
哈 希 等 。 

(1) 轮 询 算法 : 每 次 将 请 求 顺序 分 配 到 不 同 的 服务 器 ， 可 以 实现 请 求 在 多 台 机 器 之 间 的 
轮 询 转发 。 轮 询 算法 的 负载 均衡 配置 如 【示例 7-5】 所 示 。 


【示例 7-5】 
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在 nginx.conf 配 置 文件 中 ， 用 upstream 指令 定义 一 组 负载 均衡 后 端 服务 器 池 。 


(2) 权重 算法 : 将 不 同 的 后 端 服务 器 设置 不 同 的 权重 ， 以 便 实现 请 求 的 按 比 例 分 配 ， 当 
后 端 服务 器 故障 时 可 以 自动 剔除 该 服务 器 。 此 算法 的 配置 方法 如 【示例 7-6】 所 示 。 


【示例 7-6】 


其 中 ，test_svr 为 服务 器 组 名 。weight 设置 服务 器 的 权重 ， 默 认 值 是 1， 权 重 值 越 大 ， 表 
示 该 服务 器 可 以 接收 更 多 的 请 求 。max_fails 和 fail_timeout 表示 如 果 某 台 服 务 器 在 fail_timeout 
时 间 内 出 现 了 max_fails 次 连接 失败 ， 那 么 Nginx 就 会 认为 该 服务 器 已 经 故障 ， 从 而 剔除 该 服 
务 器 。 


(3) IP 哈 希 算法 : 根据 用 户 的 客户 端 IP 将 请 求 分 配给 后 端的 服务 器 。 由 于 源 IP 相同 的 
客户 端 经 过 IP 哈 希 算法 后 的 值 相同 ， 因 此 同一 客户 端的 请 求 可 以 分 配 到 后 端的 同一 台 服 务 器 
上 。]IP 哈 希 负载 均衡 主要 通过 指令 ip_hash 指定 ， 如 【示例 7-7】 所 示 。 


【示例 7-7】 


7.2.2 Nginx 反 向 代理 配置 


反 向 代理 方式 与 普通 的 代理 方式 有 所 不 同 , 使 用 反 向 代理 服务 器 可 以 根据 指定 的 负载 均衡 
算法 将 请 求 转发 给 后 端的 真实 Web 服务 器 ， 可 以 将 负载 均衡 和 代理 服务 器 的 高 速 缓 存 技术 结 
合 在 一 起 , 从 而 提升 静态 网 页 的 访问 速度 , 因此 可 以 实现 较 好 的 负载 均衡 。 如 需 设 置 反 向 代理 ， 
可 在 conf 目录 中 建立 文件 proxy.conf 并 修改 www.test.com.conf， 如 【示例 7-8】 所 示 。 


【示例 7-8】 
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其 中 ， 第 14 行 “proxy_pass http:/test_svr” 用 于 指定 反 向 代理 的 服务 器 池 ; 第 17 行 表示 
请 求 的 文件 如 果 为 指定 的 扩展 名 ， 就 直接 从 指定 目录 读 取 ; 第 24 行 表 示 如 果 是 以 php 为 扩展 
名 的 文件 ， 就 转 给 本 地 的 FastCGI 处 理 。proxy.conf 文件 中 第 3 行 表 示 将 客户 端 真实 的 IP 传送 
给 后 端 服 务 器 ， 若 后 端 服务 器 需要 获取 客户 端的 真实 IP， 则 可 以 从 变量 X-Forwarded-For 中 获 
取 。 

如 需 了 解 更 多 参数 的 相关 介绍 ， 可 以 参考 Nginx 的 帮助 手册 。 


/ .3 集成 Nginx 与 PHP 


Nginx 与 PHP 的 常见 集成 方式 有 两 种 : 一 种 是 通过 spawn-fcgi 方式 ， 另 外 一 种 是 通过 
php-frm 方式 。 两 种 集成 方式 类 似 ， 并 无 太 大 区 别 ， 本 节 主 要 介绍 如 何 通过 这 两 种 方式 集成 
Nginx 和 PHP。 


7.3.1 spawn-fcgi 集成 方式 


使 用 spawn-fegi 与 PHP 集成 首先 要 安装 相应 的 软件 ,这 里 的 版 本 为 spawn-fcgi-1.6.4.tar.gz。 
软件 安装 与 设置 主要 经 过 以 下 几 个 步骤 。 


1. spawn-fcgi 软件 安装 
安装 过 程 如 【示例 7-9】 所 示 。 
【示例 7-9】 


经 过 上 面 的 步骤 需要 的 软件 spawn-fegi 已 经 安装 完成 位 于 /usr/local/spawn-fcgi 目录 下 。 
spawn-fcgi 安装 完成 后 ， 需 要 安装 PHP， 安 装 命令 可 参考 【示例 7-4】。 

spawn-fcgi 集成 方式 需要 PHP 的 FastCGI 程序 位 于 /usr/local/php/bin/php-cgi， 在 编译 PHP 
时 需要 使 用 选项 “--enable-fastcgi”。 
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2. 虚拟 主机 设置 


这 里 主要 进行 虚拟 主机 的 相关 配置 .www:testcom 对 应 的 虚拟 主机 配置 可 参考 7.1.1 小 节 。 
这 里 需要 的 配置 文件 如 【示例 7-10】 所 示 。 


【示例 7-10】 


以 上 为 虚拟 主机 www.testcom 支持 PHP 的 设置 。 


第 1 行 指定 虚拟 主机 配置 的 开始 。 

第 3 行 指定 虚拟 主机 对 应 的 域名 。 如 果 有 多 个 域名 ， 可 以 使 用 空格 分 隔 。 

第 4 行 指定 虚拟 主机 对 应 的 主 目录 。 

第 8~14 行为 PHP 与 spawn-fcgi 集成 的 关键 配置 ， 表 示 如 果 访 问 的 文件 以 “.php” 扩 展 名 
结尾 ， 就 将 请 求 转 到 本 机 127.0.0.1 的 9000 端口 处 理 。 其 中 ,第 11 行 指定 了 默认 的 首页 文件 ; 
第 12 行 指定 了 PHP 对 应 的 处 理 CGI; 第 13 行 表示 包含 /usr/local/nginx/conf 目录 下 的 
fastcgi_params 文件 。 


3. 启动 spawn-fcgi 


经 过 上 面 的 设置 ， 相 关 配置 已 经 完成 ， 然 后 进行 spawn-fcgi 的 启动 ， 启 动 命名 如 【示例 
7-11】 所 示 。 


【示例 7-11】 
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经 过 上 面 的 步骤 ，spawn-fecgi 已 经 启动 。“-a” 参 数 表示 服务 启动 时 绑 定 的 卫 ，“-p” 表 
示 服 务 启动 时 监听 的 端口 ，“-f” 指 定 了 php-cgi 文件 所 在 的 位 置 。 


4. 编辑 测试 文件 
编辑 测试 文件 index.php 并 启动 Nginx， 文 件 内 容 及 启动 命令 如 【示例 7-12】 所 示 。 
【示例 7-12】 


5. 集成 结果 测试 


Nginx 启动 成 功 后 ， 可 以 进行 访问 测试 ， 测 试 结果 如 图 7.1 所 示 。 
vG|| 图 v" Googte QQ 人 妆 自 号 俞 


图 7.1 spawn-fcgi 集成 方式 测试 
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若 正常 出 现 上 述 输出 “Server API CGI/FastCGI”， 则 表示 Nginx 通过 spawn-fcgi 与 PHP 集 
成 ， 已 经 成 功 运行 ， 然 后 就 可 以 进行 PHP 程序 的 开发 了 。 
7.3.2 ”php-fpm 集成 方式 


php-fpm 与 spawn-fcgi 类 似 ， 是 FastCGI 进程 管理 器 ， 最 新 的 PHP 版 本 已 经 集成 php-fpm 
的 源码 ， 安 装 时 只 需 开 启 “--enable-fpm” 参 数 即 可 。 相 对 于 spawn-fcgi，php-fpm 处 理 方式 更 
高 效 ， 为 推荐 的 集成 方式 。 本 节 主 要 介绍 php-fpm 集成 过 程 与 测试 。 


1. 编译 安装 PHP 
PHP 编译 安装 过 程 如 【示例 7-13】 所 示 。 
【示例 7-13】 


经 过 上 面 的 步骤 ，PHP 软件 已 经 安装 完成 ， 关 键 文件 位 于 /usr/local/php/sbin/php-fpm。 

2. 虚拟 主机 配置 

本 节 主要 进行 虚拟 主机 的 相关 设置 ，wwwtestcom 对 应 的 虚拟 主机 配置 同 7.3.1 小 节 的 内 容 。 
3. 启动 程序 php-fpm 

配置 完成 后 ， 可 以 进行 php-fpm 的 启动 ， 启 动 命令 如 【示例 7-14】 所 示 。 

【示例 7-14】 


经 过 上 面 的 步骤 ， 程 序 /usrlocalphp/sbin/php-fpm 已 经 启动 ， 启 动 时 需要 的 配置 采用 了 
php-fpm.conf 文件 中 的 默认 设置 。 


4. 测试 
编辑 测试 文件 index.php 并 启动 Nginx, 文件 内 容 及 启动 命令 可 参考 7.3.1 小 节 的 对 应 内 容 。 
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Nginx 启动 成 功 后 ， 测 试 结果 如 图 7.2 所 示 。 


地 让 | 各] http://wwww.test.com/ 
司 [ 司 papmeo x|3 
x 查找 六 季 下 -个 全 上 一 个 ”查找 结果 :第 0 个 , 共 0 个 ~ 


图 7.2 PHP-FPM 集成 方式 测试 


若 正常 出 现 上 述 输出 “Server API FPM/FastCGI”， 则 表示 Nginx 通过 PHP-FPM 与 PHP 
集成 ， 已 经 成 功 运行 ， 然 后 就 可 以 进行 PHP 程序 的 开发 了 。 


7 .4”LNMP 实战 


PHP 提供 了 高 级 语言 中 的 流程 控制 、 循 环 、 函 数 、 类 等 功能 ， 本 节 以 一 个 简单 的 入 门 程 
序 为 例 ， 说 明 PHP 程序 的 编写 过 程 ， 然 后 介绍 如 何 利用 PHP 实现 MySQL 表 的 查询 、 添 加 、 
修改 和 删除 。 

7.4.1 第 1 个 PHP 程序 


本 节 的 示例 比较 简单 ,功能 为 在 网 页 上 显示 字符 串 “Hello World”, 详细 代码 如 【示例 7-15】 
所 示 。 


【示例 7-15】 
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第 1~4 行为 HTML 代码 ，PHP 代码 以 “<?php” 标 记 开始 、 以 “?>” 标 记 结束 。 中 间 为 
PHP 代码 部 分 ， 如 第 7 行 的 作用 是 使 用 echo 命令 显示 字符 串 “Hello Word! ”。 


7.4.2 ”数据 库 连接 


PHP 提供 了 一 系列 函数 ， 用 来 操作 MySQL 数据 库 。 本 节 主要 介绍 如 何 使 用 PHP 程序 连 
接 MySQL， 主 要 代码 如 【示例 7-16】 所 示 。 


【示例 7-16】 
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上 述 示 例 首先 设置 了 数据 库 的 IP 地 址 、 用 户 名 、 密 码 和 连接 的 数据 库 ， 然 后 使 用 
mysql_connect 进行 数据 库 连 接 ， 并 通过 返回 值 判断 连接 是 否 成 功 。mysql_select_db 函数 用 于 
选择 数据 库 ，mysql_query 函数 设置 了 默认 字符 集 编码 ，date_default_timezone_set 函数 设置 了 
默认 时 区 。 


7.4.3 ”记录 查询 


上 一 节 介 绍 了 如 何 使 用 PHP 连接 MySQL， 本 节 主 要 介绍 如 何 使 用 PHP 查询 数据 库 中 的 
记录 。 这 里 涉及 的 数据 库 和 表 的 创建 语句 如 【示例 7-17】 所 示 。 


【示例 7-17】 


以 上 创建 了 数据 库 BBS， 并 创建 了 表 users， 包含 字段 id (INT 类 型 ， 该 表 的 主键 ， 自 增 )、 
字段 uname (表示 用 户 名 )、 字 段 address (表示 地 址 )。INSERT 语句 添加 了 测试 数据 。 

查询 表 中 的 记录 ， 首 先 需 要 连接 数据 库 ， 然 后 使 用 SELECT 语句 查询 出 需要 的 记录 ， 通 
过 遍历 将 记录 取出 并 显示 到 页 面 上 。 详 细 代 码 如 【示例 7-18】 所 示 。 


【示例 7-18】 
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第 2 行使 用 include 指令 包含 了 文件 connect.php。 

第 10~19 行为 判断 用 户 页 面 输入 的 参数 ， 不 允许 输入 的 参数 为 空 。 

第 22 行 开始 为 网 页 正文 。 

第 25~33 行为 显示 输入 框 ， 可 以 在 页 面 上 输入 参数 ， 单 击 【搜索 】 按 钮 后 将 参数 传递 给 
MySQL 语句 进行 查询 。 

第 34 行 指定 接 下 来 显示 一 个 表格 。 

第 41~45 行为 表格 表 头 说 明文 字 。 

第 47~50 行 判断 当 输入 的 参数 为 空 时 如 何 处 理 ， 若 不 输入 任何 参数 ， 则 显示 表 中 所 有 符 
合 条 件 的 记录 。 

第 52 行将 输入 的 关键 词 作为 MySQL 查询 语句 的 参数 ， 然 后 通过 循环 遍历 结果 集 ， 并 以 
表格 的 形式 显示 在 页 面 上 。 

此 示例 的 执行 结果 如 图 7.3 所 示 。 
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x 要 搞 [ 站 于 下 -个 人 上 -个 查 拓 结果 :第 o 个 | 
数据 库 连接 成 功 


查询 关键 字 「 


图 7.3 用 户 信息 查询 结果 


7.4.4 ”增加 分 页 


表 中 记录 过 多 时 , 所 有 结果 放 在 一 页 中 会 影响 页 面 性 能 并 影响 浏览 效果 , 通过 分 页 可 以 优 
化 显示 效果 。 分 页 的 方法 有 很 多 ， 本 节 介 绍 一 种 简单 的 ， 查 询 时 通过 指定 MySQL 的 LIMIT 
来 实现 指定 范围 记录 的 查询 与 显示 。 具 体 代 码 如 【示例 7-19】 所 示 。 


【示例 7-19】 
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本 示例 与 不 带 分 页 的 示例 的 区 别 在 于 第 53~62 行 。 


第 53~56 行 获取 当前 的 页 码 编号 ， 如 果 为 室 ， 用 户 首 次 浏览 时 就 显示 第 1 页 内 容 。 

第 57 行 指定 了 每 页 可 以 显示 记录 的 条 数 。 

第 58~61 行 主要 执行 查询 并 得 到 符合 条 件 的 记录 总 数 。 

第 62 行 用 于 计算 查询 时 需要 的 偏 移 量 。 

第 64 行 根据 计算 的 偏 移 量 和 每 页 显示 的 记录 条 数 执行 LIMIT 查询 。 

第 88~105 行 主要 显示 首页 、 下 一 页 、 上 一 页 和 尾 页 超 链接 ， 并 将 查询 关键 字 和 页 码 编号 
传 给 指定 的 页 码 。 

本 例 运行 效果 如 图 7.4 所 示 。 


;地 址 “局 ] http://Wwww.test.com/users_page.php?page=28&bxt_keyword= 


到 | 忆 用 户 信息 查询 区 | 二 


x 查找 于 下 一 个 全 上 一 个 查找 结果 :第 0 个 , 共 0 个 ~ 
数据 库 连 接 成 功 


查询 关键 字 | 到 


用 户 信息 查询 


User23403 
user24312 


当前 第 2 页 ， 总 共 106 页 ， 总 记录 317 条 ”首页 上 一 页 下 一 页 尾 页 
图 7.4 用 户 信息 分 页 查询 


7.4.5 ”添加 记录 


上 一 节 介绍 了 如 何 通 过 关键 字 查询 符合 条 件 的 记录 及 如 何 分 页 ， 本 节 介绍 如 何 使 用 PHP 
添加 MySQL 记录 。 添 加 记录 的 代码 如 【示例 7-20】 所 示 。 


【示例 7-20】 
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7.5 用 户 信息 添加 


输入 用 户 信 息 , 单 击 【添加 】 按 钮 后 需要 由 相应 的 处 理 程序 将 输入 的 信息 添加 到 数据 库 中 ， 
代码 如 【示例 7-21】 所 示 。 
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【示例 7-21】 


运行 效果 如 图 7.6 所 示 。 


7.6 添加 数据 库 记录 


7.4.6 ”修改 记录 
如 需 修改 数据 库 相 关 记录 , 首先 需要 根据 该 表 的 主键 查询 对 应 的 记录 , 然后 显示 到 修改 页 
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面 ， 提 交 后 保存 到 数据 库 中 。 

本 节 介绍 的 修改 功能 对 应 的 代码 是 在 users_page.php 基础 上 修改 的 , 主要 是 添加 修改 记录 
需要 的 超 链 接 。 超 链接 应 该 将 当前 记录 的 主键 传 到 更 新 页 面 users_update.php。users_page.php 
所 做 的 修改 如 【示例 7-22】 所 示 。 


【示例 7-22】 


以 上 代码 的 运行 效果 如 图 7.7 所 示 。 
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内 蒙古 


当前 第 2 页 ， 总 共 3 页 ， 总 记录 1 条。 首页 上 一 页 下 -页 必 页 | 
http://www',test.comj/66S/users_update.php3d=6 


图 7.7 增加 修改 超 链接 


7.7 显示 了 修改 需要 的 超 链接 ， 并 将 主键 作为 参数 加 入 到 超 链接 中 ， 以 便 更 新 页 面 可 以 
通过 指定 的 主键 ID 查找 对 应 记录 。 
users_update.php 负责 查询 指定 的 记录 并 显示 相关 信息 ， 详 细 代码 如 【示例 7-23 】 所 示 。 


【示例 7-23】 
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上 述 示例 第 24 行 得 到 记录 的 主键 ， 第 25 行 从 数据 库 中 查找 对 应 的 记录 ， 第 32~54 行将 
查找 到 的 记录 以 表单 形式 展现 出 来 ， 显 示 效 果 如 图 7.8 所 示 。 


7.8 ”修改 记录 页 面 


在 记录 被 修改 后 ， 可 以 通过 单 击 “ 修 改 ” 按 钮 将 更 改 后 的 数据 传送 给 更 新 处 理 页 面 
users_update_do.php。 该 页 面 主要 负责 获取 更 新 后 的 数据 并 更 新 到 数据 库 中 ， 详 细 代码 如 【 示 
例 7-24】 所 示 。 
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【示例 7-24】 


此 页 面 如 果 更 新 记录 成 功 ， 就 显示 “记录 修改 成 功 ”; 如 果 修改 失败 ， 就 显示 “记录 修改 
失败 ”。 可 根据 此 信息 判断 修改 结果 。 


7.4.7 ”删除 记录 


要 删除 数据 库 中 的 记录 时 ， 首 先 获取 当前 记录 的 主键 ， 然 后 在 数据 库 中 查找 并 删除 。 本 节 
代码 在 7.4.4 节 中 的 users_page.php 基础 上 进行 修改 的 ， 主 要 是 添加 删除 记录 需要 的 超 链 接 。 超 
链接 应 该 将 当前 记录 的 主键 传 到 更 新 页 面 users_delete.php。 完 整 的 代码 如 【示例 7-25】 所 示 。 


【示例 7-25】 
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运行 效果 如 图 7.9 所 示 ， 地 址 栏 显 示 了 超 链 接 的 内 容 。 
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北京 


潮 
内 蒙古 


当前 第 2 页 ， 总 共 4 页 ， 总 记录 11 条 首页 上 一 页 下 一 页 尾 页 


图 7.9 添加 “删除 ” 超 链接 


经 过 以 上 步骤 删除 记录 需要 的 主键 ID 已 经 加 入 到 超 链接 中 ， 单 击 对 应 的 超 链接 后 ， 会 弹 
出 “确认 ”对 话 框 ， 让 用 户 确认 是 否 真 的 删除 ， 如 图 7.10 所 示 。 


r EE 


图 7.10 确认 删除 记录 对 话 框 


单 击 “ 取 消 ”按钮 ,将 不 进行 记录 删除 操作 ; 单 击 “ 确 定 ” 按 钮 ,将 进行 记录 的 删除 操作 。 
删除 相关 的 代码 如 【示例 7-26】 所 示 。 


【示例 7-26】 
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/.5 / 堵 


LNMP (Linux+Nginx+tMySQL+PHP) 是 一 种 应 用 比较 广泛 的 Web 服务 架构 。 本 章 首先 介 
绍 LNMP 涉及 的 相关 软件 的 安装 与 管理 ， 然 后 介绍 Nginx 的 虚拟 主机 配置 ， 接 着 介绍 Nginx 
和 PHP 的 两 种 集成 方式 ,最 后 通过 实现 数据 库 表 的 增 、 删 、 改 、 查 功能 介绍 Nginx+PHP+MySQL 


的 应 用 。 
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Docker 是 Docker 公司 基于 Apache 2.0 协议 的 开源 软件 , 它 可 以 把 应 用 和 环境 打包 到 一 起 
进行 部 署 。 比 如 ， 我 们 可 以 把 CentOS 7.5 和 MySQL 打包 到 一 个 Docker 镜像 里 面 ， 然 后 就 可 
以 像 运 行 一 个 程序 一 样 来 启动 它 。 

Docker 的 目标 是 加 强 部 署 环境 的 一 致 性 ， 缩 短 开发 、 测 试 到 部 署 、 上 线 运 行 的 时 间 。 让 
我 们 开发 的 应 用 程序 具备 可 移植 性 ， 易 于 构建 。Docker 本 身 是 服务 器 -客户 端 架 构 ， 服 务 器 是 
在 后 台 运 行 的 ， 一 般 称 之 为 Docker 引擎 ， 客 户 端 是 用 来 连接 服务 器 的 ， 一 般 称 之 为 Docker 
命令 。 这 样 我 们 既 可 以 在 本 地 操作 Docker， 也 可 以 在 其 他 机 器 上 远程 访问 来 操作 Docker。 

本 章 主要 涉及 的 知识 点 有 : 


Docker 三 大 概念 : 镜像 、 仓 库 、 容 器 
Docker 安装 

Docker 基础 使 用 命令 

Docker 搭建 LNMP 实战 

Docker Compose 介绍 


日 . | Docker 三 大 概念 镜像、 仓库、 容器 


1. Docker 镜像 


Docker 镜像 是 我 们 把 应 用 程序 和 运行 环境 打包 在 一 起 的 文件 ， 我 们 可 以 编写 Docker file 
来 告诉 Docker 如 何 把 我 们 的 环境 和 应 用 打包 到 一 起 ， 形 成 一 个 镜像 文件 。 


2. Docker 仓库 


Docker 仓库 是 一 台 存 放 Docker 镜像 的 服务 器 。 我 们 可 以 把 开发 好 的 镜像 上 传 到 仓库 中 ， 
也 可 以 从 仓库 中 拉 取 我 们 做 好 的 镜像 或 者 其 他 人 共享 出 来 的 镜像 .仓库 分 为 官方 仓库 和 私有 仓 
库 。 官 方 仓库 叫 作 Docker Hub， 访 问 https:/hub.dockercom， 注 册 账 号 就 可 以 使 用 了 。 私 有 仓 
库 我 们 可 以 自己 搭建 。 
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3. Docker 容器 


Docker 容器 是 启动 之 后 的 镜像 实体 。 我 们 从 仓库 中 拉 取 镜像 以 后 ， 就 可 以 通过 镜像 来 启 
动容 器 了 。 一 个 镜像 可 以 启动 多 个 容器 ， 就 像 你 可 以 打开 多 个 记事 本 一 样 。 


8 2 安装 Docker 


Docker 的 安装 比较 简单 ， 我 们 可 以 按照 以 下 步骤 来 进行 安装 。 
(1) 检查 Docker 内 核 版 本 


安装 Docker 要 求 Linux 的 内 核 版 本 在 3.10 以 上 ，Cent 7.5 满足 这 个 要 求 ， 可 以 用 uname -r 
来 检查 一 下 。 


(2) 添加 yum 仓库 
这 里 我 们 使 用 yum 的 方式 来 安装 Docker。 首 先 需 要 添加 一 个 yum 仓库 。 我 们 在 
/etc/yum.repos.d 下 面 添加 一 个 docker.repo 的 文件 。 


添加 下 面 的 文本 内 容 : 


其 中 , baseurl 中 的 $releasever 的 值 代表 的 是 当前 系统 的 发 行 版 本 。 这 个 值 可 以 通过 rpm -qi 
centos-release 命令 来 查看 。 


其 中 的 “Version: 7” 就 是 我 们 系统 的 版 本 号 。 
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(3) 使 用 yum 安装 Docker 
添加 好 Docker 的 repo 以 后 ， 就 可 以 通过 下 面 的 命令 来 安装 Docker 了 : 


(4) 启动 Docker 并 验证 是 否 安装 成 功 
安装 完成 以 后 ， 我 们 来 启动 Docker 引擎 ， 这 里 可 以 使 用 systemctl 命令 : 


或 者 使 用 : 


验证 是 否 成 功 : 


如 果 Docker 服务 器 起 不 来 ， 可 以 更 新 一 下 再 重新 启动 : 


(5) 设置 Docker 开机 启动 
我 们 使 用 systemetl 命令 来 设置 开机 启动 Docker 引擎 。 


输入 reboot 命令 重新 启动 CentOS 7.5。 


这 次 我 们 换 成 docker info 这 个 命令 来 看 看 Docker 信息 : 


有 
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8 .了 Docker 仓库 和 加 速 器 


Docker 仓库 其 实 跟 SVN 仓库 、GIT 仓库 比较 类 似 ， 主 要 是 用 来 存放 Docker 镜像 文件 的 。 
Docker 官方 搭建 的 仓库 叫 作 Docker Hub。 我 们 也 可 以 自己 搭建 私有 仓库 。 

我 们 可 以 从 Docker 仓库 中 下 载 需要 的 镜像 文件 ， 但 是 由 于 显而易见 的 网 络 原因 ， 拉 取 镜 
像 的 过 程 非常 耗 时 ， 严 重 影响 使 用 Docker 的 体验 。 此 时 需要 使 用 加 速 器 来 加 快 镜像 的 下 载 。 
这 里 推荐 daocloud 提供 的 加 速 器 。 打 开 下 面 的 网 址 : 


https://www.daocloud.io/mirrortaccelerator-doc 
按照 文档 执行 下 面 的 命令 配置 加 速 器 : 


配置 完 之 后 记得 重新 启动 Docker 引擎 : 


8 . 4 Docker 基础 使 用 命令 


Docker 的 基础 命令 不 是 很 多 ， 本 节 以 MySQL 镜像 为 例子 来 看 看 怎样 拉 取 MySQL 镜像 ， 
并 成 功 运行 在 我 们 的 机 器 上 。 


8.4.1 搜索 镜像 
调用 Docker search 搜索 MySQL 镜像 : 
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在 这 里 ， 我 们 看 到 有 两 个 镜像 : 一 个 是 MySQL 的 官方 镜像 ， 一 个 是 MariaDB 的 官方 镜像 。 


8.4.2” 拉 取 镜像 
拉 取 MySQL 5.7 官方 镜像 到 本 地 : 


每 一 个 镜像 提交 的 时 候 都 有 一 个 标签 。 如 果 我 们 没有 指定 标签 ， 默 认 会 拉 取 最 后 一 次 的 
MySQL 镜像 版 本 ， 也 就 是 latest 标签 对 应 的 MySQL。 这 里 我 们 指定 版 本 为 5.7 版 本 。 


8.4.3 ”查看 本 地 镜像 列表 
查看 本 地 镜像 列表 : 


我 们 可 以 看 到 MySQL 是 镜像 的 名 称 。5.7 是 镜像 的 版 本 ，563a026a1511 是 镜像 的 ID， 
372MB 指 的 是 镜像 的 大 小 。 


8.4.4 ”运行 容器 


我 们 先 建立 好 MySQL 的 相关 目录 。 这 里 先 说 一 个 通用 的 概念 ，Docker 运行 容器 以 后 , 会 
给 容器 分 配 一 个 唯一 的 标识 (id) 来 标识 这 个 容器 。 我 们 也 可 以 给 容器 定义 名 称 ， 如 果 有 多 台 
MySQL 服务 器 ， 我 们 可 以 把 名 字 定 为 mysql001、mysql002， 这 里 笔者 只 是 先 做 一 个 示范 ， 就 
定义 为 mysql。 有 了 id 和 名 字 以 后 ， 我 们 基本 的 启动 、 停 止 等 操作 就 可 以 使 用 id 或 者 名 字 来 
操作 对 应 的 容器 了 。 


这 可 以 略 写 ， 只 要 能 够 与 其 他 容器 这 或 者 名 字 进 行 区 分 就 行 。 


比如 id 为 c8deda4a889aa635ffd673191c58fb6d1le89cf561dad20234e6a7c1232cfl14d 实际 操 
作 的 时 候 可 以 简写 为 docker start c8d 等 。 
(1) 创建 mysql 的 配置 文件 目录 : 


mdir-p/opt/mysql/eonf 
(2) 创建 mysql 的 日 志文 件 目录 : 
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(3) 创建 数据 文件 目录 


(4) 运行 我 们 的 mysql 容器 ， 首 先进 入 配置 好 的 mysql 目录 文件 夹 : 


(5) 启动 容器 : 


-P 参数 表示 程序 启动 的 端口 号 ， 这 里 将 容器 的 3306 端口 映射 到 了 主机 的 3306 端口 。 
--name 参数 为 运行 的 这 个 容器 命名 ， 这 里 的 名 称 是 mysql。 

-V 是 挂 载 虚拟 卷 ， 这 里 把 创建 的 3 个 目录 都 挂 载 到 了 容器 内 部 对 应 的 3 个 目录 里 面 。 
-e 初始 化 root 密码 。 

-d deamon 运行 。 


最 后 的 mysql:5.7， 表 示 运 行 的 是 mysql 镜像 的 5.7 版 本 。 
c8deda4a889aa635ffd673191c58fb6dle89cf561dad20234e6a7c1232cfl14d s 是 容器 的 ID。 
(6) 查看 容器 : 


8.4.5 ”停止 容器 
停止 容器 ， 我 们 可 以 使 用 名 称 : 


也 可 以 使 用 ID 来 停止 容器 : 


8.4.6 ”重新 运行 容器 
首先 查看 总 共有 哪些 容器 : 
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使 用 名 字 或 者 id 重新 启动 容器 : 


再 次 查看 是 否 启动 : 


也 可 以 使 用 restart 命令 重启 : 


8.4.7 ”连接 MySQL 数据 库 
要 使 用 MySQL 自己 的 客户 端 连接 mysql， 前 提 是 得 连接 到 容器 的 bash: 


进入 到 bash 以 后 ， 直 接 使 用 MySQL 客户 端 命令 进行 连接 : 


在 这 里 首先 创建 了 一 个 数据 库 qa， 然 后 查看 现在 系统 里 有 多 少 个 数据 库 。 使 用 Windows 
工具 连接 到 容器 〈 见 图 8.1)， 打 开 mysql 容器 ， 可 以 看 到 qa 数据 库 在 列表 中 ， 如 图 8.2 所 示 。 


5 和 过世 mysals® RA root EE 


8.2 查看 mysql 容器 


8.4.8 ”开机 自动 启动 容器 
开机 自动 启动 容器 ， 可 以 在 docker run 启动 容器 时 使 用 --restart 参数 来 设置 : 


如 果 启动 的 时 候 没有 加 ， 也 可 以 进行 补充 : 
~ docker update --restartralways myedl 
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其 中 ，mysql 是 我 们 容器 的 名 字 。 


8.4.9 删除 容器 
删除 容器 之 前 ， 需 要 先 停止 这 个 容器 : 


再 执行 rm 命令 ， 这 里 可 以 是 容器 的 名 称 ， 也 可 以 是 容器 的 id。 


8.4.10 ”删除 镜像 


删除 镜像 之 前 ， 需 要 先 删除 所 有 使 用 该 镜像 的 容器 。 
查看 现在 已 经 有 的 镜像 : 


因为 MySQL 5.7 的 镜像 等 会 还 需要 使 用 ， 所 以 这 里 删除 MySQL 的 最 后 版 本 : 


这 样 镜像 就 删除 完成 了 ， 再 次 运行 docker images 命令 ， 会 发 现 latest 镜像 已 经 没有 了 。 


另 .5 pocker 搭 建 LNMP 实战 


LNMP 指 的 是 一 个 基于 Linux 的 Nginx、PHP、MySQL 整体 框架 。 在 搭建 LNMP 之 前 ， 
先 说 一 下 Docker 里 面 的 link 概念 。 

每 次 容器 启动 的 时 候 ， 实 际 上 IP 是 容器 的 路 由 器 自动 分 配 的 ， 也 就 是 不 固定 的 。 这 样 的 
话 ， 如 果 另 外 一 个 容器 B 想 访问 容器 A 的 服务 ， 因 为 不 知道 IP 地 址 ， 就 会 造成 无 法 访问 的 问 
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题 。 我 们 可 以 用 容器 的 link 命令 ， 让 容器 之 间 通 过 名 字 来 访问 。 
为 了 实战 演示 方便 ， 笔 者 设 定 这 次 的 容器 名 称 分 别 为 rc-mysql、rc-phpfpm、rc-nginx。rc 
代表 候选 发 布 版 本 的 意思 。 


8.5.1 Docker 运行 MySQL 
(1) 建立 rc-mysql 对 应 的 目录 文件 夹 : 


(2) 拉 取 镜像: 
aocker Pull 595 
(3) 启动 容器 ， 名 称 设置 为 re-mysql: 


(4) 修改 数据 库 访问 权限 : 


8.5.2 ”Docker 运行 PHP-FPM 


这 里 需要 与 MySQL 容器 rc-mysql 建立 连接 , 可 以 使 用 link 命令 来 实现 这 个 连接 。 连接 的 
语法 为 --link name:alias。 其 中 name 是 源 容器 的 名 称 ，alias 是 连接 的 这 个 容器 的 别名 。 
(1) 建立 rc-phpfpm 对 应 的 目录 文件 夹 : 


(2) 拉 取 PHP-FPM 和 启动 PHP-FPM 在 9000 端口 : 
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(3) 准备 好 测试 PHP 文件 。 
进入 html 目录 : 


(4) 安装 MySQL 模块 。 


8.5.3 ”Docker 运行 Nginx 


Docker 运行 Nginx: 


修改 /etc/nginx.conf 配置 文件 ， 让 PHP 文件 能 够 被 PHP-FPM 解析 。 因 为 容器 里 面 没 有 vi 
或 者 vim 命令 。 我 们 把 配置 文件 复制 出 来 修改 一 下 : 


使 用 vim 修改 : 
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修改 以 后 ， 再 复制 回去 : 


重新 启动 容器 : 
aocker restart renginx 


测试 PHP 连接 MySQL: 


8 。 6 认识 Docker Compose 


Docker Compose 由 Python 编写 , 是 一 个 用 来 定义 和 运行 复杂 应 用 的 Docker 工具 。 我 们 搭 
建 的 LNMP 环境 通常 由 多 个 容器 组 成 ， 每 次 都 需要 启动 多 个 容器 。Docker Compose 可 以 通过 
一 个 配置 文件 来 管理 多 个 Docker 容器 , 它 允 许 用 户 通过 一 个 单独 的 docker-compose.yml 模板 
文件 (YAML 格式 ) 来 定义 一 组 相关 联 的 应 用 容器 为 一 个 项 目 (project)。 在 这 个 配置 文件 中 ， 
所 有 的 容器 通过 services 来 定义 ， 然 后 使 用 docker-compose 脚本 来 启动 、 人 停止、 重启 应 用 和 应 
用 中 的 服务 以 及 所 有 依赖 服务 的 容器 ， 非 常 适合 组 合 使 用 多 个 容器 进行 开发 的 场景 。 


8.6.1 安装 Docker Compose 
直接 使 用 yum 安装 : 
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查看 Docker Compose 版 本 : 


8.6.2 ”Docker Compose 搭建 LNMP 实战 


使 用 Docker Compose 搭建 LNMP， 我 们 还 是 一 步 步 来 ， 先 搭建 MySQL 进行 测试 。 
(1) 建立 Inmp 目录 ， 在 下 面 创建 mysql 的 文件 夹 : 


(2) 编写 Docker Compose 的 yaml 文件 。 
在 /opt/compose/Inmp 下 面 编写 docker-compose.yml 文件 。 
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在 services 中 定义 了 mysql 服务 ，hostname 名 字 为 mysql。 
(3) 启动 Docker Compose: 


(4) 停止 Docker Compose: 


(5) 添加 PHP。 
在 services 下 面 再 添加 PHP 对 应 的 配置 : 


(6) 添加 Nginx: 
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(7) 重新 启动 Docker Compose 就 完成 了 。 


8.7 小 结 


Docker 已 经 成 为 容器 的 主流 ， 本 章 主要 介绍 了 它 的 简单 使 用 ， 并 通过 8.5 节 的 实战 方式 ， 
让 读者 可 以 亲自 上 手 ， 真 正 学 会 Docker。 
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电子 商务 已 经 成 为 生活 中 不 可 缺少 的 一 部 分 , 给 用 户 带 来 方便 和 效率 。 随 着 计算 机 硬件 的 
发 展 , 单 台 计 算 机 的 性 能 和 可 靠 性 越 来 越 高 , 网 络 的 飞速 发 展 给 网 络 带宽 和 服务 器 带 来 巨大 的 
挑战 , 网 络 带 宽 的 增长 远 高 于 处 理 器 速度 和 内 存 访问 速度 的 增长 , 急剧 膨胀 的 用 户 请 求 已 经 使 
单 台 计算 机 难以 达到 用 户 的 需求 .为 了 满足 急剧 增长 的 需求 , 使 用 集群 技术 负载 均衡 迫在眉睫 。 

本 章 首先 介绍 什么 是 集群 技术 及 集群 的 体系 结构 ， 然 后 介绍 集群 软件 LVS 〈Linux Virtual 
Server) 的 负载 调度 算法 ， 并 结合 各 种 调度 算法 给 出 实际 案例 。 

本 章 主要 涉及 的 知识 点 有 : 


e Linux 集群 体系 结构 
。 LVS 负载 均衡 调度 算法 
® LVS 负载 均衡 的 安装 与 设置 


本 章 介绍 的 LVS 负载 均衡 管理 主要 针对 Linux 系统 下 的 负载 均衡 ， 在 Windows 领域 软件 
层面 尚 没 有 匹配 的 开源 软件 支持 负载 均衡 。 


9 .| 集群 技术 简介 


如 今 互 联网 应 用 尤其 是 Web 服务 已 经 越 来 越 广泛 。 电子 商务 网 站 需要 提供 每 天 24 小 时 不 
间断 服务 , 如 发 生硬 件 损坏 导致 服务 中 断 将 造成 不 可 挽回 的 经 济 损失 。 越 来 越 多 的 网 站 交互 性 
不 断 增强 ， 随 着 用 户 量 的 增长 需要 更 强 的 CPU 和 IO 处 理 能 力 。 在 数据 挖掘 领域 ， 需 要 在 大 
量 数据 中 找 出 有 价值 的 信息 ,时 间 是 必须 考虑 的 因素 。 集 群 技术 的 出 现 顺利 解决 了 这 两 种 问题 : 
高 可 用 性 集群 和 高 性 能 集群。 

集群 通过 一 组 相对 廉价 的 设备 实现 服务 的 可 伸缩 性 ， 当 服务 请 求 急剧 增长 时 , 服务 依然 可 
用 ， 响 应 依然 快速 。 集 群 可 以 允许 部 分 硬件 或 软件 发 生 故 障 ， 通 过 集群 管理 软件 将 故障 屏蔽 ， 
从 而 提供 24 小 时 不 间断 的 服务 。 相 对 于 高 端 服务 器 的 昂贵 成 本 ， 使 用 廉价 的 设备 组 成 集群 ， 
所 花费 的 经 济 成 本 相对 可 以 承受 。 

高 可 用 性 集群 可 以 提供 负载 均衡 , 通过 把 任务 轮流 分 给 多 台 服 务 器 完成 ,以 避免 某 台 服务 
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器 负载 过 高 。 同 时 负载 均衡 是 一 种 动态 均衡 ,可 以 通过 一 些 工具 或 软件 实时 地 分 析 数 据 包 ， 掌 
握 网 络 中 的 数据 流量 状况 ， 合 理 分 配 任务 。 


各 比如 在 数据 链 路 层 可 以 根据 数据 包 的 MAC 地 址 选择 不 同 的 路 径 。 网 络 层 则 可 以 利用 基于 
IP 地 址 的 分 配方 式 将 数据 分 配 到 多 个 节点 。 对 于 不 同 的 应 用 环境 ， 如 计算 负荷 较 大 的 电 

| 子 商务 网 站 、IP 读 写 频繁 的 数据 库 应 用 、 网 络 传输 量 大 的 视频 服务 则 各 自 有 对 应 的 负载 
均衡 算法 。 


9 .2 Lvs 集群 介绍 


LVS 为 Linux 虚拟 服务 器 (Linux Virtual Server), 针对 高 可 伸缩 、 高 可 用 网 络 服务 的 需求 ， 
中 国 的 章 文 帆 博 士 给 出 了 基于 IP 层 和 基于 内 容 请 求 分 发 的 负载 平衡 调度 解决 方案 ,并 在 Linux 
内 核实 现 ， 将 一 组 服务 器 构成 一 个 实现 可 伸缩 的 、 高 可 用 网 络 服务 的 虚拟 服务 器 。 虚 拟 服务 器 
的 体系 结构 如 图 9.1 所 示 。 


用 户 


互联 网 /企业 网 E EE 


| 负载 均衡 器 


图 9.1 虚拟 服务 器 体系 结 


-组 服务 器 通过 高 速 的 局 域 网 或 地 理 分 布 的 广域网 相互 连接 ， 前 端 有 一 个 负载 均衡 器 
(Load Balancer)， 有 时 简称 为 LD。 负 和 载 均衡 器 负责 将 网 络 请 求 调度 到 真实 服务 器 上 , 真实 的 
服务 器 称 作 real server， 简 称 rs， 从 而 使 得 服务 器 集群 的 结构 对 应 用 是 透明 的 。 应 用 访问 集群 
系统 提供 的 网 络 服 务 就 像 访 问 一 台 高 性 能 、 高 可 用 的 服务 器 一 样 。 集群 的 扩展 性 可 以 通过 在 服 
务 集群 中 动态 地 加 入 和 删除 服务 器 节点 完成 。 通 过 定期 检测 节点 或 服务 进程 状态 可 以 动态 地 吻 
除 故障 的 节点 ， 从 而 使 系统 达到 高 可 用 性 。 


9.2.1 3 种 负载 均衡 技术 
在 LVS 框架 中 , 提供 了 IP 虚拟 服务 器 软件 (IPVS), 包含 3 种 IP 负载 均衡 技术 , 通过 此 
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软件 可 以 快速 措 建 高 可 伸缩 、 高 可 用 的 网 络 服务 ， 管 理 也 非常 方便 。 
IPVS 软件 实现 了 这 3 种 IP 负载 均衡 技术 ， 每 种 技术 原理 介绍 如 下 。 


1. Virtual Server via Network Address Translation ( VS/NAT ) 


此 种 技术 中 前 端 负载 均衡 器 通过 重 写 请 求 报 文 的 目的 地 址 实现 网 络 地 址 转换 ,根据 设 定 的 
负载 均衡 算法 将 请 求 分 配给 后 端的 真实 服务 器 。 真实 服务 器 的 响应 报 文通 过 负载 均衡 器 时 , 报 
文 的 源 地 址 被 重 写 ， 然 后 返回 给 客户 端 ， 从 而 完成 整个 负载 调度 过 程 。 由 于 NAT 的 每 次 请 求 
接收 和 返回 都 要 经 过 负载 均衡 器 ， 对 前 端 负载 均衡 器 性 能 要 求 较 高 ,如 业务 请 求 量 较 大 , 负载 
均衡 器 可 能 成 为 瓶颈 。NAT 模式 体系 结构 如 图 9.2 所 示 。 


Load Balancer 
» lnxBx No 
\ Orewing ropies 


Virtual Server 
via NAT 


图 9.2 LVS NAT 模式 体系 结 


2. Virtual Server via IP Tunneling ( VS/TUN ) 


TUN 模式 如 图 9.3 所 示 。 采用 NAT 技术 时 , 由 于 请 求 和 响应 报 文 都 必须 经 过 负载 均衡 器 
地 址 重 写 , 当 客 户 请 求 越 来 越 多 时 , 负载 均衡 器 的 处 理 能 力 可 能 成 为 瓶颈 。 为 了 解决 这 个 问题 ， 
负载 均衡 器 把 请 求 报 文通 过 IP 隧道 转发 至 真实 服务 器 , 而 真实 服务 器 将 响应 直接 返回 给 客户 ， 
此 种 技术 负载 均衡 器 只 处 理 请 求 报 文 。 由 于 结果 不 需要 经 过 负载 均衡 器 , 采用 此 种 技术 的 集群 
吞吐 能 力也 更 强大 ， 同 时 TUN 模式 可 以 支持 跨 网 段 ， 并 支持 跨 地 域 部 署 ， 使 用 非常 灵活 。 
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Replies goimgio he user directy 
Irtemetntranet 


Virtual Server 
vialP Tunneling 


图 9.3 LVS TUN 模式 体系 结 
3. Virtual Server via Direct Routing ( VS/DR ) 


VS/DR 模式 如 图 9.4 所 示 , 该 模式 通过 改写 请 求 报 文 的 MAC 地 址 , 将 请 求 发 送 到 真实 服 
务 器 ， 类 似 TUN 模式 ，DR 模式 下 真实 服务 器 将 响应 直接 返回 给 客户 端 ， 因 此 VS/DR 技术 可 
极 大 地 提高 集群 系统 的 伸缩 性 。 这 种 方法 没有 IP 隧道 的 开销 ， 真 实 服务 器 也 没有 必须 支持 IP 
隧道 协议 的 要 求 , 但 是 此 种 模式 要 求 负载 均衡 器 与 真实 服务 器 都 在 同一 物理 网 段 上 。 由 于 同一 
网 段 机 器 数量 有 限 ， 从 而 限制 了 其 应 用 范围 。 
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9.2.2 ”负载 均衡 调度 算法 
针对 不 同 的 网 络 服务 需求 和 服务 器 配置 , IPVS 负载 均衡 器 提供 了 如 下 几 种 负载 调度 算法 : 


(1) 轮 询 算 法 

轮 询 (Round Robin) 算法 简称 RR。 负 载 均衡 器 通过 轮 询 调 度 算 法 将 外 部 请 求 按 顺 序 轮流 
分 配 到 集群 中 的 真实 服务 器 上 , 每 台 后 端的 服务 器 都 是 平等 无 差别 的 , 此 种 算法 忽略 了 真实 服 
务 器 的 负载 情况 ， 需 结合 其 他 监控 手段 一 起 使 用 。 


(2) 加 权 轮 询 算法 

加 权 轮 询 (Weighted Round Robin ) 算法 简称 WRR。 负 载 均衡 器 通过 加 权 轮 询 调度 算法 根 
据 真 实 服务 器 的 不 同 处 理 能 力 来 调度 访问 请 求 ， 从 而 让 处 理 能 力 强 的 服务 器 处 理 更 多 的 请 求 。 
负载 均衡 器 可 以 自动 问 询 真实 服务 器 的 负载 情况 ， 并 动态 地 调整 其 权 值 ， 相 比 轮 询 模式 ， 有 更 
大 的 灵活 性 。 


(3) 最 少 链接 算法 

最 小 链接 (Least Connections) 算法 简称 LC。 负 载 均衡 器 通过 最 少 链接 调度 算法 动态 地 将 
网 络 请 求 调度 到 已 建立 的 链接 数 最 少 的 服务 器 上 。 如 果 集 群 系统 的 真实 服务 器 具有 相近 的 系统 
性 能 ， 采 用 此 种 算法 可 以 较 好 地 均衡 负载 。 


(4) 加 权 最 少 链接 算法 

加 权 最 少 链接 (Weighted Least Connections ) 算法 简称 WLC。 在 集群 系统 中 的 服务 器 性 能 
差异 较 大 的 情况 下 , 负载 均衡 器 采用 加 权 最 少 链接 调度 算法 优化 负载 均衡 性 能 ， 具有 较 高 权 值 
的 服务 器 将 承受 较 大 比例 的 活动 链接 负载 。 

(5) 基于 局 部 性 的 最 少 链接 算法 

基于 局 部 性 的 最 少 链接 (Locality-Based Least Connections ) 算法 简称 LBLC。 基 于 局 部 性 
的 最 少 链接 调度 算法 是 针对 目标 IP 地 址 的 负载 均衡 , 该 算法 根据 请 求 的 目标 卫 地 址 找 出 该 目 
标 IP 地 址 最 近 使 用 的 服务 器 ， 若 该 服务 器 是 可 用 的 且 没 有 超载 ， 则 将 请 求 发 送 到 该 服务 器 ; 
若 服务 器 不 存在 或 服务 器 超载 , 则 用 最 少 链接 的 原则 选 出 一 个 可 用 的 服务 器 , 将 请 求 发 送 到 该 
服务 器 。 


(6) 带 复制 的 基于 局 部 性 最 少 链接 算法 

带 复 制 的 基于 局 部 性 最 少 链接 (Locality-Based Least Connections with Replication) 算法 简 
称 LBLCR。 带 复制 的 基于 局 部 性 最 少 链接 调度 算法 也 是 针对 目标 IP 地 址 的 负载 均衡 ， 与 
LBLC 算法 的 不 同 之 处 是 要 维护 从 一 个 目标 IP 地 址 到 一 组 服务 器 的 映射 。 该 算法 根据 请 求 的 
目标 IP 地 址 找 出 该 目标 IP 地 址 对 应 的 服务 器 组 ， 按 最 小 连接 原则 从 服务 器 组 中 选 出 一 台 服 
务 器 ， 若 服务 器 没有 超载 ， 则 将 请 求 发 送 到 该 服务 器 ; 若 服 务 器 超载 ， 则 按 最 小 连接 原则 从 这 
个 集群 中 选 出 一 台 服 务 器 ， 将 该 服务 器 加 入 到 服务 器 组 中 ， 将 请 求 发 送 到 该 服务 器 。 
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(7) 目标 地 址 散 列 算法 

目标 地 址 散 列 (Destination Hashing) 算法 简称 DH。 此 调度 算法 根据 请 求 的 目的 卫 地 址 
作为 散 列 键 ， 从 静态 分 配 的 散 列表 找 出 对 应 的 真实 服务 器 ， 若 该 服务 器 是 可 用 的 且 未 超载 , 将 
请 求 发 送 到 该 服务 器 ， 否 则 返回 空 。 


(8) 源 地 址 散 列 算法 

源 地 址 散 列 (Source Hashing) 算法 简称 SH。 源 地 址 散 列 调度 算法 根据 请 求 的 源 IP 地 址 
作为 散 列 键 ， 从 静态 分 配 的 散 列 表 找 出 对 应 的 服务 器 ， 若 该 服务 器 是 可 用 的 且 未 超载 , 将 请 求 
发 送 到 该 服务 器 ， 否 则 返回 空 。 


9 .了 “Lvs 集群 的 体系 结构 


LVS 集群 采用 IP 负载 均衡 技术 和 基于 内 容 请 求 分 发 技术 .负载 均 衡器 具有 很 好 的 吞吐 率 ， 
将 请 求 均衡 地 转移 到 不 同 的 服务 器 上 执行 , 且 负 载 均衡 器 自动 屏蔽 掉 服 务 器 的 故障 ， 从 而 将 一 
组 服务 器 构成 一 个 高 性 能 的 、 高 可 用 可 伸缩 的 虚拟 服务 器 。 整 个 服务 器 集群 的 结构 对 客户 是 透 
明 的 ， 而 且 无 须 修 改 客户 端 和 服务 器 端的 程序 。 为 此 , 在 设计 时 需要 考虑 系统 的 透明 性 、 可 伸 
缩 性 、 高 可 用 性 和 易 管理 性 。 一 般 来 说 ，LVS 集群 采用 三 层 结构 ， 其 体系 结构 一 般 如 图 9.5 


所 示 。 
Np 此 
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图 95 负载 均衡 通用 体系 结构 
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负载 均衡 集群 的 通用 体系 结构 一 般 主要 有 3 个 组 成 部 分 ， 分 别 为 : 


(1) 负载 均衡 器 (load balancer) 简称 LD， 是 整个 集群 最 外 面 的 前 端 机 ， 上 面部 署 一 个 
VIP 服务 ， 客 户 请 求 到 达 该 VIP 后 LD 负责 将 客户 的 请 求 发 送 到 后 端的 真实 服务 器 上 执行 ， 而 


客户 认为 服务 是 来 自 一 个 IP 地 址 上 的 。 


(2) 真实 服务 器 池 (real server pool) 是 一 组 真正 执行 客户 请 求 的 服务 器 ， 负 责 处 理 用 户 


请 求 并 返回 结果 。 


(3) 共享 存储 (shared storage) 是 可 选 组 成 部 分 ， 主 要 提供 一 个 共享 的 存储 区 ， 从 而 使 


得 服务 器 池 拥有 相同 的 内 容 ， 提 供 相同 的 服务 。 


口 .4 Lvs 负载 均衡 配置 实例 


如 今 Web 应 用 已 经 非常 广泛 , 本 节 主 要 以 搭建 一 组 Web 服务 器 并 实现 LVS 的 负载 均衡 为 


例 ， 说 明 LVS 负载 均衡 的 配置 方法 。 搭 建 LVS 相关 的 服务 器 信息 如 表 9.1 所 示 。 
表 9.1 LVS 实例 相关 信息 


说 明 


参数 
负载 均衡 器 192.168.32.100、 192.168.32.200 


测试 域名 [weston | 
用 户 访问 www.test.com 时 ， 会 解析 到 192.168.32.150， 然 后 负载 均衡 器 通过 算法 将 请 求 转 


到 后 端的 真实 服务 器 192.168.32.1 或 192.168.32.2 上 面 ， 从 而 达到 负载 均衡 的 目的 。 


| 在 开始 所 有 配置 之 前 ， 需 要 确认 所 有 计算 机 上 的 LVS 模块 已 加 载 ( 模 块 名 为 ip_vs) 、 
| 防火 墙 、 SELinux 等 都 做 了 妥善 的 设置 ， 任 何 环节 设置 不 合理 都 会 导致 整个 LVS 无 法 


工作 。 


9.4.1 基于 NAT 模式 的 LVS 的 安装 与 配置 


NAT (Network Address Translation) 技术 的 出 现 有 效 缓解 了 IPv4 地 址 空间 不 足 的 问题 。 
通过 重 写 请 求 报 文 的 IP 地 址 (目标 地 址 、 源 地 址 和 端口 等 ) 将 私有 地 址 转换 成 合法 的 人 P 地 址 ， 
从 而 实现 一 个 局 域 网 只 需 使 用 少量 IP 地 址 即 可 实现 私有 地 址 网 络 内 所 有 计算 机 与 互联 网 的 通 
信和 需求 。 不 同 IP 地 址 的 服务 器 组 也 认为 其 是 与 客户 直接 相连 的 。 由 此 可 以 用 NAT 方法 将 不 
同 IP 地 址 的 并 行 网 络 服务 变 成 在 一 个 IP 地 址 上 的 一 个 虚拟 服务 。 根 据 上 文 提 供 的 服务 器 信 


息 介 绍 基于 NAT 的 Web 集群 配置 。 
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1. ipvsadm 软件 安装 
首先 应 该 安装 LVS 管理 工具 ipvsadm， 本 示例 中 采用 的 版 本 为 ipvsadm-1.26.tar.gz， 安 装 


过 程 如 【示例 9-1】 所 示 。 


【示例 9-1】 


# 解 压 源码 包 ， 在 下 载 源码 包 时 注意 内 核 版 本 ， 下 载 对 应 的 配置 工具 
[root@CentOs soft]# tar xvf ipvsadm-1.26.tar.gz 

# 可 直接 编译 

[rooteCcentOS ipvsadm-1.26]# make 

# 安 装 

[rooteCcentOS ipvsadm-1.26]# make install 


# 确 认 ipvsadm 安装 成 功 
[root@CentOsS ipvsadm-1.26]# /sbin/ipvsadm -v 
ipvsadm v1.26 2008/5/15 (compiled with popt and IPVS v1.2.1) 


安装 完毕 后 主要 的 程序 有 3 个 : 

e /sbin/ipvsadm: LVS 主管 理 程序 ， 负 责 RS 的 添加 、 删 除 与 修改 。 
e ipvsadm-save: 用 户 备份 LVS 配置 。 

ee ipvsadm-restore: 用 于 恢复 LVS 配置 。 

ipvsadm 常用 参数 说 明 如 表 9.2 所 示 。 


表 9.2 ipvsadm 常用 参数 说 明 
说 阴 


EE 


保存 虚拟 服务 器 规则 ， 输 出 为 -R 选项 可 读 的 格式 


-a 


在 内 核 虚 拟 服务 器 表 的 一 条 记录 里 添加 一 条 新 的 真实 服务 器 记录 


-© 


-d 


编辑 一 条 虚拟 服务 器 记录 中 的 某 条 真实 服务 器 记录 
删除 一 条 虚拟 服务 器 记录 中 的 某 条 真实 服务 器 记录 
显示 内 核 虚 拟 服务 器 表 


虚拟 服务 表 计 数 器 清 零 〈 清 空当 前 的 连接 数量 等 ) 


-tcptcpfin udp 设置 连接 超时 值 


--Start-daemon 启动 同步 守护 进程 


--stop-daemon | 停止 同步 守护 进程 


h 
-t 
U 


显示 帮助 信息 
说 明 虚 拟 服务 器 提供 的 是 TCP 服务 
说 明 虚 拟 服 务 器 提供 的 是 UDP 服务 
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( 续 表 ) 


参数 说 明 

-S 使 用 的 调度 算法 ， 常 见 选项 串 wrrllclwlclIblcllblcr|ldhlshlsedlnq 
持久 服务 

真实 的 服务 器 

指定 LVS 的 工作 模式 为 直接 路 由 模式 

指定 LVS 的 工作 模式 为 隧道 模式 

指定 LVS 的 工作 模式 为 NAT 模式 


- 真实 服务 器 的 权 值 


--rate 显示 速率 信息 
--Sort 对 虚拟 服务 器 和 真实 服务 器 排序 输出 


-n 输出 IP 地 址 和 端口 的 数字 形式 
2. LVS 配置 


首先 在 前 端 负载 均衡 器 192.168.32.100 做 相关 设置 , 包含 设置 VIP、 添 加 LVS 的 虚拟 服务 
器 并 添加 真实 服务 器 。 操 作 步 骤 如 【示例 9-2】 所 示 。 

【示例 9-2】 

# 启 用 路 由 转发 功能 

[root@LD 192 168_32 100 ~]# echo "1"” >/proc/sys/net/ipv4/ip_forward 

# 清 除 ijpvsadm 表 

[root@LD 192 168 32 100 ~]# ipvsadm -C 

# 使 用 ipvsadm 安装 LVS 服务 

[root@LD 192 168 32 100 ~]# /sbin/ipvsadm -A -t 192.168.32.150:80 

# 增 加 第 1 台 realserver 

[root@LD 192 168 32 100 ~]# /sbin/ipvsadm -a -t 192.168.32.150:80 -r 
192.168.32.1:80 =m =w 1 

# 增 加 第 2 台 realserver 

[root@LD 192 168 32 100 ~]# /sbin/ipvsadm -a -t 192.168.32.150:80 -r 
192.168.32.2:80 =m =w 1 

上 述 示例 首先 清除 ipvsadm 表 ， 然 后 添加 LVS 虚拟 服务 ， 并 指定 NAT 模式 添加 真实 的 服 
务 器 ， 各 个 真实 服务 器 权重 指定 为 1， 其 他 参数 说 明 可 参考 表 9.2。 


3. Apache 服务 搭建 


Apache 服务 需要 在 真实 服务 器 上 部 署 , 部 署 完 毕 后 需要 做 一 些 设置 并 启动 , 如 【示例 9-3】 
所 示 。 
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【示例 9-3】 


另外 一 个 节点 192.168.32.2 做 类 似 设 置 ， 不 同 之 处 在 于 首页 内 容 为 “welcome to 
192.168.32.2”， 其 他 情况 相同 。 


4. 真实 服务 器 设置 


如 需 LVS 代理 到 后 端的 真实 服务 器 ， 后 端 真实 服务 器 需要 启动 服务 ， 并 确认 服务 端口 监 
听 在 0.0.0.0 或 VIP 上 ,然后 设置 真实 服务 器 的 VIP, 设置 VIP 的 网 络 接口 可 以 选择 eth0 或 tunl0。 
步骤 如 【示例 9-4】 所 示 。 


【示例 9-4】 


当 客 户 端 访问 VIP 时 ， 会 产生 arp 广播 ， 由 于 前 端 负载 均衡 器 LD 和 Apache 真实 的 服务 
器 RS 都 设置 了 VIP， 此 时 集群 内 的 真实 服务 器 会 尝试 回答 来 自 客户 端的 请 求 ， 从 而 导致 多 台 
机 器 响应 自己 是 VIP， 因 此 为 了 达到 负载 均衡 的 目的 ， 需 让 真实 服务 器 忽略 来 自 客户 端 计算 机 
的 arp 广播 请 求 。 


5. LVS 测试 


确认 真实 后 端 服务 器 已 经 启动 并 监听 在 0.0.0.0, 并 且 真 实 服务 器 上 设置 了 VIP, LVS 前 端 
负载 均衡 器 已 经 添加 了 虚拟 服务 ， 然 后 进行 LVS 的 测试 ， 测 试 过 程 如 【示例 9-5】 所 示 。 


【示例 9-5】 


使 用 命令 行 测试 ， 从 上 面 的 结果 可 以 看 出 ，LVS 服务 器 已 经 成 功 运行 。 


9.4.2 ”基于 DR 模式 的 LVS 的 安装 与 配置 


在 VS/NAT 的 集群 系统 中 ， 请 求 和 响应 的 数据 报 文 都 需要 通过 负载 均衡 器 ， 当 真实 服务 
器 的 数目 在 10 台 和 20 台 之 间 时 ， 如 请 求 量 不 高 ， 则 运行 良好 ， 如 请 求 量 突 增 或 响应 报 文 包含 
大 量 的 数据 ， 负 载 均衡 器 将 成 为 整个 集群 系统 的 瓶颈 。VS/DR 利用 大 多 数 Intemet 服务 的 非 
对 称 特点 ， 负 载 均衡 器 中 只 负责 调度 请 求 ， 而 服务 器 直接 将 响应 返回 给 客户 ， 可 以 极 大 地 提高 
整个 集群 系统 的 吞吐 量 。 


1. ipvsadm 软件 安装 
首先 可 以 按 前 面 提供 的 方法 安装 ipvsadm 软件 。 
2. LVS 配置 


首先 在 前 端 负 载 均衡 器 192.168.32.100 做 相关 设置 , 包含 设置 VIP, 并 添加 LVS 的 虚拟 服 
务 器 并 添加 真实 服务 器 。 操 作 步 又 如 【示例 9-6】 所 示 。 


【示例 9-6】 
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上 述 示例 首先 清除 ipvsadm 表 ， 然 后 添加 LVS 虚拟 服务 ， 并 指定 用 直接 路 由 DR 模式 添 
加 真实 的 服务 器 ， 各 个 真实 服务 器 权重 指定 为 1， 其 他 参数 说 明 可 参考 表 9.2。 


3. Apache 服务 搭建 


Apache 服务 需要 在 真实 服务 器 上 部 署 ， 部 署 完 毕 后 需要 做 一 些 设置 并 启动 ， 可 以 按 上 节 
的 方法 安装 和 部 署 。 


4. 真实 服务 器 设置 


如 需 LVS 代理 到 后 端的 真实 服务 器 ， 后 端 真实 服务 器 需要 启动 服务 ， 并 确认 服务 端口 监 
听 在 0.0.0.0 或 VIP 上 ,然后 设置 真实 服务 器 的 VIP。 设置 VIP 的 网 络 接口 可 以 选择 eth0 或 tunl0。 
步骤 如 【示例 9-7】 所 示 。 


【示例 9-7】 


当 客 户 端 访问 VIP 时 ， 会 产生 arp 广播 ， 由 于 前 端 负载 均衡 器 LD 和 Apache 真实 的 服务 
器 RS 都 设置 了 VIP， 此 时 集群 内 的 真实 服务 器 会 尝试 回答 来 自 客户 端的 请 求 ， 从 而 导致 多 台 


机 器 响应 自己 是 VIP， 因 此 为 了 达到 负载 均衡 的 目的 ， 需 让 真实 服务 器 忽略 来 自 客户 端 计算 机 
的 arp 广播 请 求 。 


5. LVS 测试 


确认 真实 后 端 服务 器 已 经 启动 并 监听 在 0.0.0.0, 并 且 真 实 服务 器 上 设置 了 VIP，LVS 前 端 
负载 均衡 器 已 经 添加 了 虚拟 服务 ， 然 后 进行 LVS 的 测试 ， 测 试 过 程 如 【示例 9-8】 所 示 。 


【示例 9-8】 


使 用 浏览 器 或 命令 行 测试 ， 从 上 面 的 结果 可 以 看 出 ， LVS 服务 器 已 经 成 功 运行 。 

VS/DR 的 工作 流程 如 图 9.6 所 示 , 负载 均衡 器 根据 各 个 服务 器 的 负载 情况 , 动态 地 选择 一 
台 服 务 器 ， 将 数据 帧 的 MAC 地 址 改 为 选 出 服务 器 的 MAC 地 址 ， 再 将 修改 后 的 数据 帧 在 服务 
器 组 的 局 域 网 上 发 送 。 因 为 数据 帧 的 MAC 地 址 是 选 出 的 服务 器 ,所 以 服务 器 肯定 可 以 收 到 这 
个 数据 帧 ， 从 中 可 以 获得 该 IP 报 文 。 当 服务 器 发 现 报 文 的 目标 地 址 VIP 是 在 本 地 的 网 络 设备 
上 ， 服 务 器 就 处 理 这 个 报 文 ， 然 后 根据 路 由 表 将 响应 报 文 直接 返 给 客户 。 


IP 数 据 包 [lw | 1 四 反 个 服 和 器 


人 


' 真实 服务 器 在 收 型 数据 包 后 ,查看 数 
! 据 包 的 目的 地 址 ( YIF ) ， 发 现 是 给 


;自己 的 数据 包 ， 立 即将 数据 交 给 上 层 
;处理 ,然后 以 WIP 为 源 地 址 给 客 户 
| 端 返回 应 答 。 


9.6 LVS DR 报 文 流程 


9.4.3 ”基于 IP 隧道 模式 的 LVS 的 安装 与 配置 


JP 隧道 (IP tunneling) 是 将 一 个 IP 报 文 封装 在 另 一 个 IP 报 文 的 技术 ,这 可 以 使 得 目标 为 
一 个 IP 地址 的 数据 报 文 能 被 封装 和 转发 到 另 一 个 IP 地 址 。 IP 隧道 技术 亦 称 为 IP 封装 技术 (IP 
encapsulation)。IP 隧道 主要 用 于 移动 主机 和 虚拟 私有 网 络 (Virtual Private Network)， 在 其 中 
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隧道 都 是 静态 建立 的 ， 隧 道 一 端 有 一 个 卫 地 址 ， 另 一 端 也 有 唯一 的 卫 地 址 。 
1. ipvsadm 软件 安装 
首先 可 以 按 上 节 提 供 的 方法 安装 ipvsadm 软件 。 
2. LVS 配置 


首先 在 前 端 负载 均衡 器 192.168.32.100 做 相关 设置 , 包含 设置 VIP、 添加 LVS 的 虚拟 服务 
器 并 添加 真实 服务 器 。 操 作 步 又 如 【示例 9-9】 所 示 。 


【示例 9-9】 


上 述 示例 首先 清除 ipvsadm 表 ， 然 后 添加 LVS 虚拟 服务 ， 并 指定 IP 隧道 模式 添加 真实 的 
服务 器 ， 各 个 真实 服务 器 权重 指定 为 1， 其 他 参数 说 明 可 参考 表 9.2。 


3. Apache 服务 搭建 


Apache 服务 需要 在 真实 服务 器 上 部 署 ， 部 署 完毕 后 需要 做 一 些 设置 并 启动 ， 可 以 按 上 节 
的 方法 安装 和 部 署 。 


4. 真实 服务 器 设置 


如 需 LVS 代理 到 后 端的 真实 服务 器 ， 后 端 真实 服务 器 需要 启动 服务 ， 并 确认 服务 端口 监 
听 在 0.0.0.0 或 VIP 上 ,然后 设置 真实 服务 器 的 VIP。 设置 VIP 的 网 络 接口 可 以 选择 eth0 或 tunl0。 
步骤 如 【示例 9-10】 所 示 。 


【示例 9-10】 


当 客户 端 访问 VIP 时 ， 会 产生 arp 广播 ， 由 于 前 端 负载 均衡 器 LD 和 Apache 真实 的 服务 
器 RS 都 设置 了 VIP， 此 时 集群 内 的 真实 服务 器 会 尝试 回答 来 自 客户 端的 请 求 ， 从 而 导致 多 台 
机 器 响应 自己 是 VIP， 因 此 为 了 达到 负载 均衡 的 目的 ， 需 让 真实 服务 器 忽略 来 自 客户 端 计算 机 
的 arp 广播 请 求 。 


5. LVS 测试 


确认 真实 后 端 服务 器 已 经 启动 并 监听 在 0.0.0.0, 并 且 真 实 服务 器 上 设置 了 VIP, LVS 前 端 
负载 均衡 器 已 经 添加 了 虚拟 服务 ， 然 后 进行 LVS 的 测试 ， 测 试 过 程 如 【示例 9-11】 所 示 。 


【示例 9-11】 


使 用 浏览 器 或 命令 行 测试 ， 从 上 面 的 结果 可 以 看 出 ，LVS 服务 器 已 经 成 功 运行 。 

VS/TUN 的 工作 流程 如 图 9.7 所 示 : 负载 均衡 器 根据 各 个 服务 器 的 负载 情况 ， 动 态 地 选择 
一 台 服 务 器 , 将 请 求 报 文 封装 在 另 一 个 IP 报 文中 , 再 将 封装 后 的 耳 报 文 转 发 给 选 出 的 服务 器 ; 
服务 器 收 到 报 文 后 ， 先 将 报 文 解 封 获得 原来 目标 地 址 为 VIP 的 报 文 ， 服 务 器 发 现 VIP 地 址 被 
配置 在 本 地 的 IP 隧道 设备 上 ， 所 以 就 处 理 这 个 请 求 ， 然 后 根据 路 由 表 将 响应 报 文 直接 返 给 客 
户 。 
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IP 数 据 | vP ; 调度 器 收 到 数据 包 后 ， 选 择 一 ， 
; 个 服务 器 ， 使 用 该 服务 器 的 ITP ， 
reapsuiaing ; 地 址 《DIP) 作为 目的 地 址 对 ，; 
; 数据 包 进 行 封装 : 


SmIP | VIP 


| 


Swip | vp ! 真实 服务 收 到 数据 包 后 解 开 数 
; 据 包 ， 发 现 是 发 给 自己 的 包 ,于 ， 
ecapsulaling ;是 将 数据 交 给 上 层 应 用 程序 处 ， 


和 


图 9.7 LVS TUN 模式 报 文 流程 


9 口 . 5 利用 集群 搭建 高 可 用 MySQL 平台 


本 节 主 要 以 高 可 用 MySQL 平台 为 例 介绍 负载 均衡 软件 LVS 和 高 可 用 软件 HA 在 MySQL 
方面 的 应 用 。 


9.5.1 高 可 用 MySQL 平台 的 功能 


随 着 MySQL 实例 的 增长 , 统一 的 监控 系统 是 必要 的 ， 有 效 及 时 的 监控 告警 可 以 保证 及 时 
发 现 系 统 中 的 问题 ， 如 主 从 同步 状态 、 实 例 吞 吐 量 、 使 用 空间 、 慢 查询 数量 、 数 据 平均 访问 延 
迟 等 都 需要 及 时 了 解 ， 结 合 Web 化 的 管理 系统 是 一 个 有 效 手 段 。 为 避免 一 些 危险 操作 导致 数 
据 丢 失 或 恶意 算 改 ,在 热 备 的 基础 上 定期 冷 备 是 必要 的 , 以便 在 突 发 情况 下 恢复 数据 , 同时 冷 
备 数据 的 恢复 需要 做 定期 演练 ， 以 便 确 认 冷 备 有 效 和 恢复 流程 。 

当 MySQL 实例 增多 时 ， 需 要 有 效 的 权限 管理 ，MySQL 权限 管理 一 般 基于 用 户 名 和 主机 
名 ， 可 按 需 分 配 增 、 删 、 改 、 查 或 更 高 级 的 权限 ， 当 MySQL 实例 增 至 上 百 或 上 千 的 规模 ,日 
常 权限 的 管理 和 审计 需要 有 流程 化 的 运 维 工具 支撑 ， 同 时 DROP、ALTER 等 高 级 权限 应 该 避 
免 分 配给 开发 使 用 。 

由 于 实例 的 增长 ， 需 要 支撑 的 应 用 越 来 越 多 ， 如 何 避 免 应 用 开发 者 的 SQL 拖 垮 MySQL 
服务 或 耗 时 增加 , SQL 审核 尤其 是 数据 库 变更 需要 制定 规范 和 流程 保证 。 尽管 有 了 SQL 审核 ， 
但 不 可 避免 地 存在 数据 库 慢 查询 , 开启 慢 查询 日 志 是 必要 的 , 同时 需要 对 慢 查询 日 志 做 按 天 的 
审计 ， 通 过 此 方法 可 以 及 时 发 现 系统 中 的 异常 SQL， 以便 及 时 优化 。 

由 于 实例 的 增长 , 服务 器 故障 的 可 能 性 增加 , 如 何在 故障 的 情况 下 实现 应 用 的 快速 切换 是 
必须 考虑 的 问题 ,一 种 是 通知 应 用 层 切 换 , 此 种 方法 成 本 较 高 而 且 耗 时 较 长 , 另外 一 种 是 屏蔽 
MySQL 实例 的 细节 ， 由 MySQL 存储 层 完成 切换 ， 以 便 及 时 完成 故障 切换 。 同 时 由 于 访问 量 
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急剧 增长 ， 完 善 的 扩容 和 数据 迁移 工具 是 需要 考虑 的 。 
综 上 所 述 ， 完 善 的 高 可 用 MySQL 平台 应 该 包含 以 下 功能 : 

有 效 的 监控 。 

完善 的 容 灾 及 故障 切换 。 

SQL 审核 ， 慢 查询 审计 。 

有 效 的 权限 管理 。 

权限 管理 与 审计 。 

Web 化 的 管理 系统 。 

扩容 、 迁 移 自动 化 。 


基于 以 上 需求 ， 建 设 高 可 用 MySQL 平台 是 必要 的 。 限 于 篇 幅 ， 这 里 主要 介绍 容 灾 方面 的 
可 选 方案 。 


9.5.2 ”可 选 方案 对 比 


目前 开源 社区 有 很 多 优秀 的 代理 方案 ， 如 HAProxy、MySQL Proxy 和 域名 等 ， 每 种 方案 
各 有 优 缺 点 ， 在 不 同 的 场合 可 以 使 用 不 同 的 代理 方案 ， 下 面 主要 对 比 这 几 种 方案 的 优 缺 点 。 
1. HAProxy 


HAProxy 提供 高 可 用 性 、 负 载 均衡 以 及 基于 TCP 和 HTTP 应 用 的 代理 ， 支 持 虚 拟 主机 ， 
是 一 种 免费 、 快 速 并 且 可 靠 的 解决 方案 。HAProxy 比较 适用 于 那些 负载 特大 的 Web 站 点 ， 同 
样 可 以 代理 MySQL 等 服务 ， HAProxy 可 以 支持 数 以 万 计 的 并 发 连接 , 并 且 可 以 很 简单 地 整合 
进 你 当前 的 业务 架构 中 。HAProxy 可 以 使 Web 服务 器 不 被 暴露 到 公 网 上 。 

MySQL 主要 使 用 了 权限 管理 失效 代理 ，MySQL 的 权限 管理 基于 用 户 名 和 主机 名 ， 由 于 
是 应 用 层 代 理 ， 需 要 对 HAProxy 的 主机 分 配 权限 ， 这 样 任何 知道 用 户 名 、 密 码 的 用 户 都 可 以 
连接 该 MySQL 示例 ， 对 于 数据 安全 造成 比较 大 的 隐患 。 结 合 iptables 防火 墙 ， 可 以 缓解 此 问 
题 。 

2. MySQL Proxy 


MySQL Proxy 是 一 个 处 于 客户 端 和 MySQL 服务 端 之 间 的 代理 程序 ,可 以 监测 、 分 析 或 改 
变 客户 端 与 服务 器 端的 通信 。 使 用 灵活 ， 没 有 限制 ， 并 且 可 以 实现 负载 平衡 、 查 询 分 析 、 查 询 
过 滤 和 修改 等 功能 。MySQL Proxy 为 一 个 连接 池 ， 负 责 将 开发 者 应 用 层 的 连接 请 求 转发 给 数 
据 库 ， 并 且 可 以 通过 使 用 Lua 脚本 实现 复杂 的 连接 控制 和 过 滤 ， 从 而 实现 读 写 分 离 和 负载 平 
衡 。 对 于 开发 者 来 说 是 完全 透明 的 ， 应 用 则 只 需要 连接 到 MySQL Proxy 的 监听 端口 即 可 。 

当然 ， 这 样 Proxy 机 器 可 能 成 为 单 点 失效 ， 但 完全 可 以 使 用 多 个 Proxy 机 器 作为 元 余 ， 开 
发 者 应 用 负责 故障 时 的 切换 。MySQL Proxy 可 以 实现 读 写 分 离 ， 基 本 原理 是 让 主 数据 库 处 理 
事务 性 查询 , 让 从 库 处 理 查 询 。 数据 库 复制 被 用 来 把 事务 性 查询 导致 的 变更 同步 到 集群 中 的 从 
库 。 其 最 新 版 本 可 以 在 http://dev.mysql.com/downloads/mysql-Proxy/ 获 取 。 
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3. 域名 


域名 方式 类 似 本 机 配置 hosts 的 方式 ， 在 出 现 故 障 时 通过 更 改 域名 指向 可 以 快速 将 开发 者 
应 用 切换 到 其 他 的 MySQL 服务 器 ， 此 方案 需要 维护 一 套 DNS 系统 ， 增 加 了 维护 成 本 ， 同 时 
DNS 服务 需要 主 备 部 署 ， 以 便 应 对 突 发 情况 。 


4. hosts 配置 管理 


本 方法 可 以 在 主机 上 配置 一 系列 的 hosts， 通 过 批量 管理 工具 如 puppet 来 实现 hosts 文件 
的 统一 配置 管理 ， 通 过 相关 程序 实现 自动 监控 和 hosts 的 自动 修改 ， 可 以 作为 一 种 可 选 的 解决 
问题 的 方法 。 需 要 注意 的 是 ， 切 换 后 要 注意 MySQL 长 链接 的 切换 。 


9.5.3 ”高 可 用 MySQL 平台 实现 方案 


上 节 介 绍 了 目前 几 种 优秀 的 MySQL 代理 方案 , 如 HAProxy、MySQL Proxy 和 域名 等 , 每 
种 方案 各 有 优 缺 点 ， 在 不 同 的 场合 可 以 使 用 不 同 的 代理 方案 ， 本 项 目 实现 的 方案 为 
LVS+HA+PORT+iptables， 其 中 iptables 是 可 选 的 步骤 。 

LVS 集群 采用 IP 负载 均衡 技术 和 基于 内 容 请 求 分 发 技术 。 调 度 器 具有 很 好 的 吞吐 率 ， 将 
请 求 均衡 地 转移 到 不 同 的 服务 器 上 执行 , 且 调 度 器 自动 屏蔽 掉 服务 器 的 故障 ,从 而 将 一 组 服务 
器 构成 一 个 高 性 能 、 高 可 用 的 虚拟 服务 器 集群 。 整 个 服务 器 集群 的 结构 对 客户 是 透明 的 , 而 且 
无 须 修改 客户 端 和 服务 器 端的 程序 。 在 MySQL 代理 方面 有 不 俗 的 表现 ,不 失 为 一 种 优秀 的 代 
理 方 案 。 

本 方案 中 LVS 主要 解决 负载 均衡 和 调度 管理 , HA 负责 前 端 代理 服务 的 高 可 用 , 在 成 百 上 
千 的 MySQL 应 用 中 采用 端口 区 分 不 同 的 应 用 ，iptables 实现 权限 的 控制 与 异常 请 求 来 源 处 理 。 


9.5.4 搭建 MySQL 集群 
MySQL 集群 涉及 的 资源 信息 如 表 9.3 所 示 。 
表 9.3 MySQL 集群 资源 信息 说 明 
my.cnf MySQL 实例 启动 时 需要 的 配置 文件 模板 
mysql.conf MySQL 实例 配置 文件 模板 需要 的 参数 设置 ， 每 行 表示 一 个 实例 需要 的 参数 


genInstance.sh 根据 mysql.conf 和 my.cnf 生成 每 个 实例 需要 的 配置 文件 并 启动 对 应 实例 ， 分 配 
对 应 的 管理 账户 


rep.conf MySQL 实例 主 从 配置 ， 每 行 代表 一 对 主 从 配置 
Tep sh 根据 rep.conf 自动 给 对 应 的 从 库 分 配 热 备 需要 的 用 户 名 和 密码 


Tebei.conf MySQL 实例 主 从 配置 ， 与 rep.conf 配置 文件 对 应 
rebei.sh 根据 rebei.conf 读 取 主 数据 库 的 binglog 位 置 并 自动 搭建 主 从 关系 


这 台 机 器 可 以 登录 所 有 MySQL 实例 ， 以 便 进行 日 常 管理 
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( 续 表 ) 


参数 说 明 


部 署 MySQL 实例 


192.168.3.101 部 署 MySQL 实例 


192.168.3.102 部 署 MySQL 实例 


部 署 MySQL 实例 


MySQL 实例 较 多 时 ， 端 口 分 配 需要 遵守 一 定 的 规则 ， 本 方案 统一 采用 5 位 端口 号 ， 单 个 
VIP 理论 上 可 以 容纳 5 万 多 个 端口 应 用 (10000-65535)， 可 以 满足 绝 大 多 数 应 用 场景 。 其 中 ， 
第 1 位 表示 是 主 数据 库 还 是 从 数据 库 ，1 表示 主 数 据 库 ，2 表示 是 主 数据 库 的 第 1 级 从 库 ，3 
表示 连接 在 第 1 级 从 库 后 面 的 从 库 ， 其 他 数值 依 此 类 推 : 后 面 两 位 用 于 标识 每 个 开发 者 应 用 ; 
最 后 两 位 表示 每 个 应 用 对 应 的 MySQL 实例 编号 ， 如 01 表示 该 应 用 的 第 1 个 数据 库 ， 如 应 用 
分 库 分 表 ， 则 直接 可 以 向 上 累加 ， 一 直到 99。 为 便于 演示 ， 本 节 主 要 搭建 两 对 MySQL 主 从 
实例 ， 其 基本 信息 如 【示例 9-12】 所 示 。 


【示例 9-12】 


本 节 需 要 的 实例 对 采用 脚本 完成 ， 不 同 的 MySQL 实例 使 用 相同 的 MySQL 配置 文件 模 
板 ， 模板 中 设 定 了 一 些 有 关 每 个 MySQL 实例 个 性 化 的 设置 ， 然 后 通过 主 执行 脚本 读 取 该 配置 
文件 ， 然 后 完成 MySQL 实例 的 配置 。 


1. MySQL 安装 


MySQL 的 安装 可 以 采用 源码 或 rpm 包 安 装 ,具体 的 安装 过 程 可 以 参考 第 6 章 的 有 关内 容 ， 
本 节 主 要 采用 源码 安装 的 方法 ， 如 【示例 9-13】 所 示 。 


【示例 9-13】 


本 示例 中 的 MySQL 配置 文件 模板 主要 说 明 MySQL 配置 文件 模板 代表 性 的 几 个 参数 ， 更 
多 配置 参数 含义 可 参考 MySQL 帮助 文档 。MySQL 实例 配置 文件 模板 主要 参数 内 容 如 【示例 
9-14】 所 示 。 
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【示例 9-14】 


上 述 示例 中 的 主要 参数 有 MySQL 实例 启动 时 绑 定 的 IP， 可 以 使 用 0.0.0.0 或 VIP， 本 节 
采用 LVS 3 种 模式 中 的 TUN 模式 ， 依 据 其 原理 ， 当 请 求 包 到 达 MySQL 实例 所 在 的 网 络 接口 
时 ， 由 于 数据 包 的 目的 IP 是 VIP 和 端口 ， 因 此 如 果 MySQL 服务 器 绑 定 本 机 了 或 127.0.0.1， 
数据 包 将 会 被 丢弃 ， 从 而 使 客户 端 不 能 连接 MySQL 服务 器 。 

与 MySQL 配置 文件 模板 对 应 的 为 参数 设置 文件 mysql.conf， 每 行 对 应 一 个 实例 需要 传 入 
模板 文件 的 参数 ， 如 【示例 9-15】 所 示 。 


【示例 9-15】 


需要 设置 的 代表 性 的 参数 有 : 


数据 库 数据 目录 datadir， 主 要 存放 MySQL 实例 的 数据 文件 、 日 志 等 。 

二 进 制 文件 binlog 的 目录 ，binlog 是 部 署 数据 库 主 从 服务 器 必需 的 文件 。 

MySQL 实例 启动 后 监听 的 端口 。 

每 个 MySQL 实例 需要 innodb 缓存 参数 innodb_buffer pool_ size，MySQL 实例 默认 采 
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用 innodb 引擎 。 


genInstance.sh 脚本 的 主要 功能 是 读 取 MySQL 配置 文件 模板 my.cnf 和 参数 设置 文件 
mysql.conf， 通 过 一 定 的 设置 后 启动 相对 应 的 MySQL 示例 。 启 动 完毕 后 分 配 相 关 的 用 户 名 和 
密码 ， 分 配 的 管理 账户 用 户 名 为 “admin”、 密 码 为 “admin”、 客 户 端 卫 为 192.168.3.200。 
脚本 内 容 如 【示例 9-16】 所 示 。 


【示例 9-16】 
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上 述 脚本 主要 包含 3 个 函数 : 


ee main 为 主 函数 ， 通 过 调用 其 他 函数 完成 脚本 实现 的 功能 。 

@ setENV 函数 主要 用 于 设置 脚本 需要 的 环境 变量 ， 如 文件 搜索 路 径 PATH、 获取 本 机 IP 等 。 

@ process 函数 首先 读 取 参 数 配置 文件 mysql.conf， 通 过 对 比 IP 找 出 需要 在 本 机 启动 的 

MySQL 实例 配置 。 然 后 依次 读 取 每 行 参数 , 创建 需要 的 数据 目录 datadir、binlog 目录 ， 
替换 my.cnf 中 的 参数 ， 生 成 每 个 实例 需要 的 配置 文件 ， 配 置 文件 位 于 /etc 目录 下 。 

第 39 行 功能 为 初始 化 MySQL 实例 需要 的 系统 表 ， 第 40 行为 启动 MySQL 实例 并 放 入 后 台 
执行 。MySQL 实例 启动 需要 一 定时 间 ， 通 过 sleep 30 秒 等 待 实例 启动 完成 ， 通 过 本 地 socket 方式 
登录 MySQL 并 分 配 用 户 管理 的 用 户 名 密码 ，192.168.3.200 是 用 于 管理 所 有 MySQL 实例 的 主机 。 

经 过 以 上 步骤 完成 了 MySQL 单个 实例 的 部 署 ， 接 下 来 进行 MySQL 热 备 环境 的 部 署 。 热 
备 环境 的 部 署 主要 经 过 两 步 : 


(1) 主 MySQL 实例 给 从 MySQL 分 配 热 备 需要 的 用 户 名 和 密码 。 
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(2) 由 于 MySQL 实例 是 新 部 署 的 , 没有 应 用 数据 , 因此 从 数据 库 可 以 直接 获取 主 MySQL 
的 binglog 位 置 ， 然 后 通过 指定 的 命令 连接 到 主 MySQL 实例 。 
2. 从 库 通过 “start slave” 启动 MySQL 热 备 并 检查 
各 个 实例 之 间 的 主 从 关系 如 【示例 9-17】 所 示 。 
【示例 9-17】 


上 述 配 置 文件 每 一 行 四 列 ， 每 行 表示 一 对 MySQL 主 从 关系 设置 。 前 两 列表 示 主 MySQL 
实例 的 服务 器 IP 和 端口 ， 后 两 列表 示 从 数据 库 的 服务 器 IP 和 端口 。 

rep.sh 功能 为 读 取 rep.conf 的 配置 ， 然 后 在 MySQL 主 服务 器 上 分 配 从 数据 库 搭建 热 备 时 
需要 的 用 户 名 和 密码 ， 用 户 名 为 “rep”， 密码 为 空 。 脚 本 源码 如 【示例 9-18】 所 示 。 


【示例 9-18】 
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此 脚本 在 MySQL 主 实例 在 的 机 器 上 运行 , 运行 成 功 后 会 自动 分 配 从 数据 库 搭建 热 备 需要 
的 用 户 名 和 密码 。 

完成 热 备 需要 的 用 户 名 密码 后 , 接 下 来 进行 热 备 关 系 的 搭建 , 热 备 关 系 的 搭建 也 是 通过 脚 
本 完成 的 。 

rebei.conf 配置 类 似 于 rep.conf， 不 同 的 是 前 两 列 是 从 库 的 服务 器 IP 和 端口 ， 后 两 列 为 主 
服务 器 的 服务 器 IP 和 端口 。 配 置 文件 如 【示例 9-19】 所 示 。 


【示例 9-19】 


rebei.sh 功能 为 读 取 rebei.conf 的 配置 ， 然 后 在 MySQL 从 服务 器 上 得 到 主 服务 器 当前 的 
binlog 文件 名 和 位 置 ， 然 后 通过 “change master” 命 令 设置 主 从 关系 ， 设 置 成 功 后 使 用 “start 
slave ”开启 热 备 。 脚 本 源码 如 【示例 9-20】 所 示 。 


【示例 9-20】 
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关键 代码 : 第 31 行 通过 “show master logs” 获 取 主 数据 库 的 binlog 文件 列表 ， 然 后 取出 
最 新 的 文件 名 和 位 置 对 应 文件 列表 结果 的 最 后 一 行 . 设置 主 从 关系 的 “CHANGE MASTER” 
命令 为 以 下 格式 〈 见 【示例 9-21】): 


【示例 9-21】 


MASTER_HOST 为 主 MySQL 数据 库 服务 器 的 IP，MASTER_PORT 为 主 MySQL 数据 库 
服务 器 监听 的 端口 ，MASTER_USER 为 主 数据 库 服务 器 上 分 配给 从 数据 库 服务 的 用 户 名 ， 
MASTER_PASSWORD 为 对 应 密码 ，MASTER_LOG _FILE 表示 指定 从 数据 库 服务 器 启动 热 备 
时 读 取 的 主 数据 库 服务 器 binlog 文件 名 ，MASTER_LOG_POS 为 对 应 位 置 。 

rebei.sh 在 从 数据 库 所 在 机 器 执行 ， 经 过 上 面 的 步骤 各 个 实例 之 间 的 主 从 关系 已 经 设置 完 
毕 ， 脚 本 执行 过 程 中 如 有 问题 可 以 根据 具体 错误 信息 进行 排查 。 


9.5.5 ”搭建 负载 均衡 LVS 
LVS 集群 涉及 的 资源 信息 如 表 9.4 所 示 。 


表 9.4 LVS 资源 信息 说 明 


192.168.3.87 LVS 前 端 LD 主机 

192.168.3.88 LVS 前 端 LD 备 机 

192.168.3.118 LVS VIP 

192.168.3.100 部 署 了 MySQL 实例 主 数据 库 ， 端 口 10101 
192.168.3.101 部 署 了 MySQL 实例 从 数据 库 ， 端 口 20101 
192.168.3.102 部 署 了 MySQL 实例 主 数据 库 ， 端 口 10201 
192.168.3.103 部 署 了 MySQL 实例 从 数据 库 ， 端 口 20201 
192.168.3.200 这 台 机 器 可 以 登录 并 管理 所 有 MySQL 实例 


根据 以 上 资源 ， 搭 建 LVS 的 步骤 主要 分 为 资源 规划 、 内 核 编 译 、LVS 软件 安装 、VIP 设 
置 、 真 实 服务 器 设置 等 步骤 ，LVS 采用 IP 隧道 模式 ， 可 以 跨 网 段 并 且 配置 灵活 ， 以 下 为 详细 
的 操作 步骤 。 


1. 资源 规划 


本 节 要 实现 的 是 使 用 户 通过 VIP 访问 后 端的 MySQL 服务 器 。 正 常情 况 下 VIP 设置 在 
192.168.3.87 或 192.168.3.87 所 在 的 机 器 。 当 前 端 访问 192.168.3.118 上 面 的 端口 时 ，LVS 自动 
转 接 到 后 端 对 应 的 MySQL 应 用 ，LVS 代理 信息 说 明 如 表 9.5 所 示 。 

表 9.5 LVS 代理 信息 说 明 


实际 IP 地 址 访问 的 VIP 端口 MySQL 实例 所 在 IP MySQL 实例 端口 
192.168.3.87 192.168.3.118 192.168.3.100 10101 
192.168.3.87 192.168.3.118 192.168.3.101 20101 


192.168.3.87 192.168.3.118 192.168.3.102 10201 
192.168.3.87 192.168.3.118 192.168.3.103 


2. 内 核 编译 升级 


由 于 采用 LVS 模式 中 的 IP 隧道 模式 ， 因 此 要 确认 内 核 支持 IP 隧道 ， 确 认命 令 如 【示例 
9-22】 所 示 ， 若 不 支持 ， 则 需要 重新 编译 内 核 。 

【示例 9-22】 

# 确 认 系统 是 否 加 载 了 ipip 模块 和 tunnel 模块 

[rooteCentOS Packages]# lsmodlgrep ipip 

ipip 8371 0 

tunnel4 2943 1 ipip 

# 若 系统 不 支持 tunne1， 则 继续 重新 编译 升级 内 核 

升级 内 核 步骤 如 【示例 9-23】 所 示 。 


【示例 9-23】 
[rooteCentOS kernels]# cd linux-2.6.32.61 
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出 现 内 核 编译 设置 界面 ， 选 择 【Networking support】 然后 选择 【Networking options】 选 
中 【<M> IP: tunneling】， 退 出 并 保存 设置 。 


【示例 9-23】 续 


然后 将 文件 保存 ， 重 启 ， 进 行 系统 引导 时 ， 选 择 “CentOS (2.6.32-LVS-LD)”， 即 可 使 用 
编译 好 的 内 核 。 下 一 步 进行 LVS 管理 软件 的 安装 。 


3. ipvsadm 软件 安装 


ipvsadm 采用 的 版 本 为 ipvsadm-1.26.tar.gz， 安 装 方式 为 从 源码 安装 。 安 装 过 程 如 【示例 
9-24】 所 示 。 


【示例 9-24】 


安装 完毕 后 主要 的 程序 有 3 个 : 


e /sbin/ipvsadm: LVS 主管 理 程序 ， 负 责 RS 的 添加 、 删 除 和 修改 。 
e ipvsadm-save: 用 于 备份 LVS 配置 。 
e ipvsadm-restore: 用 于 恢复 LVS 配置 。 


ipvsadm 常用 参数 说 明 如 表 9.6 所 示 。 
表 9.6 ipvsadm 常用 参数 说 明 


参数 说 明 
查看 帮助 


清空 ipvs 链表 

增加 虚拟 服务 

表示 TCP 服务 

表示 添加 某 条 链 路 服务 至 虚拟 服务 链 路 
真实 服务 器 地 址 

编辑 虚拟 服务 

删除 某 条 虚拟 服务 

表示 IPIP 隧道 服务 


4. 配置 虚拟 IP 


客户 端 访问 MySQL 时 ， 需 要 访问 VIP 和 端口 ， 然 后 LVS 根据 配置 转 到 实际 的 MySQL 
服务 器 ， 而 MySQL 服务 器 的 真实 IP 对 客户 端 是 不 可 见 的 。 配 置 虚 拟 IP 需要 在 一 台 LD 和 所 
有 MySQL 数据 库 服务 器 上 配置 。 

LD 上 的 配置 过 程 如 【示例 9-25】 所 示 。 


【示例 9-25】 


后 端 MySQL 服务 器 设置 命令 如 【示例 9-26】 所 示 。 
【示例 9-26】 
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当 客户 端 访问 VIP 时 ， 会 产生 arp 广播 ， 由 于 前 端 负载 均衡 器 和 MySQL 真实 的 服务 器 都 
设置 了 VIP， 此 时 集群 内 的 真实 服务 器 会 尝试 回答 来 自 客户 端的 请 求 ， 从 而 导致 多 台 机 器 响应 
自己 是 VIP， 因 此 为 了 达到 负载 均衡 的 目的 ， 需 让 真实 服务 器 忽略 来 自 客户 端 计算 机 的 arp 广 
播 请 求 。 


5. MySQL 实例 配置 


确认 VIP 在 前 端 负载 均衡 器 和 后 端 真实 服务 器 上 设置 完毕 后 ， 进 行 MySQL 实例 的 添加 ， 
添加 的 命令 如 【示例 9-27】 所 示 。 


【示例 9-27】 


经 过 以 上 步骤 ，MySQL 服务 在 LVS 中 的 设置 已 经 完成 ， 设 置 完 毕 后 进行 MySQL 实例 的 
测试 。 可 登录 192.168.3.200， 测 试 过 程 如 【示例 9-28】 所 示 。 


【示例 9-28】 


经 过 上 面 的 步骤， 使 用 LVS 代理 MySQL 的 步骤 已 经 完成 ， 通 过 LVS 访问 MySQL 的 需 
求 已 经 实现 。 每 个 LVS 虚拟 服务 后 可 以 添加 多 台 MySQL 实例 ， 比 如 有 两 台 或 更 多 的 从 库 部 
署 在 不 同 的 服务 器 上 ， 数 据 相同 ， 提 供 的 是 相同 的 服务 ， 可 以 添加 到 共同 的 LVS 虚拟 服务 中 ， 
这 样 便 可 以 实现 MySQL 访问 的 负载 均衡 。 

如 果 需 要 更 高 的 可 用 性 ， 需 要 对 前 端的 负载 均衡 器 做 双 机 热 备 ， 常 见 的 方案 有 Heartbeat 
和 keepalived, 本 节 将 采用 Heartbeat 作为 双 机 热 备 的 方案 , 可 以 做 到 在 主 节点 故障 时 备 节点 迅 
速 接管 服务 。 具 体 步 又 将 在 下 一 节 介绍 。 
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经 过 上 一 节 的 配置 LVS 已 经 可 以 正常 提供 服务 ， 但 为 了 保证 更 高 的 可 用 性 ， 需 要 对 前 端 
的 复杂 均衡 器 做 双 机 热 备 ， 常 见 的 方案 有 Heartbeat 或 keepalive， 本 节 以 heartbeat 为 例 说 明 双 
机 热 备 的 部 署 过 程 。 

最 新 版 本 的 Heartbeat 可 以 支持 前 端 负载 均衡 器 的 集群 部 署 , 本 节 的 示例 以 Heartbeat 双 机 
热 备 为 例 介 绍 部 署 过 程 。HA 的 部 署 要 经 过 软件 安装 、 配 置 文件 设置 、 配 置 haresources、 配 置 
authkeys 和 配置 资源 管理 脚本 几 个 步骤 。 
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1. HA 相关 软件 安装 


本 节 采 用 的 Heartbeat 版 本 为 2.1.4， 首 先 安装 HA 需要 的 依赖 库 ， 然 后 进行 HA 软件 的 安 
装 ， 安 装 过 程 如 【示例 9-29】 所 示 。 


【示例 9-29】 


以 上 步骤 若 没 有 什么 错误 提示 ， 则 完成 了 HA 软件 的 安装 ， 备 节点 部 署 过 程 同 主 节点 。 


2. 两 台 负 载 均衡 器 配置 hosts 


配置 HA 需要 的 hosts， 其 中 主机 名 需要 与 “hostname” 输 出 相同 。 主 备 节点 需要 做 同样 
设置 ， 如 【示例 9-30】 所 示 。 


【示例 9-30】 


3. 配置 /etc/ha.d/ha.cf 


/etc/ha.d/ha.cf 为 HA 服务 的 主 配置 文件 ， 此 文件 指定 了 故障 接管 时 的 一 些 条 件 和 参数 ,此 
配置 主 备 节点 内 容 可 以 一 致 。 文 件 内 容 如 【示例 9-31】 所 示 。 


【示例 9-31】 


4. 配置 /etc/ha.d/haresources 


/etc/ha.d/haresources 指定 了 需要 备 节点 接管 的 资源 ， 如 IP 资源 、 共 享 存储 或 其 他 主 节点 
故障 时 需要 转移 到 备 节点 的 资源 。 


【示例 9-32】 


上 述 示例 指定 了 192.168.3.87 为 主 节点 ， 主 节点 故障 时 需要 备 节点 接管 的 资源 有 虚拟 
IP192.168.3.118， 然 后 为 myop.sh 脚本 指定 的 资源 ， 其 中 myop.sh 为 一 个 可 以 接收 “start” 和 
“stop” 的 服务 。 这 个 配置 主 备 节点 一 致 即 可 。 


5. 配置 /etc/ha.d/authkeys 


/etc/ha.d/authkeys 的 作用 是 设置 数字 签名 密 钥 和 算法 ， 此 设置 两 个 节点 完全 一 样 ， 设 置 步 
又 如 【示例 9-33】 所 示 。 


【示例 9-33】 


文件 权限 设置 为 “600”， 表示 只 有 root 用 户 可 以 操作 此 文件 ， 若 此 文件 属性 未 被 正确 配 
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置 ， 则 Heartbeat 程序 将 不 能 启动 ， 同 时 打印 错误 信息 。 

6. 资源 管理 脚本 

HA 在 资源 接管 时 需要 执行 特定 的 脚本 ， 以 便 初 始 化 相关 资源 ， 如 IP 地 址 等 HA 提供 了 
脚本 可 直接 调用 ， 如 需 接管 其 他 资源 则 需要 编写 程序 辅助 。 本 示例 中 的 LVS 设置 属于 此 种 情 


况 。 编 写 的 脚本 为 可 以 接收 “start” 和 “stop” 的 脚本 ， 用 于 初始 化 资源 和 取消 相关 设置 。 脚 
本 内 容 如 【示例 9-34】 所 示 。 


【示例 9-34】 


上 述 示例 中 的 脚本 myop.sh 用 于 控制 VIP 和 LVS 虚拟 服务 的 配置 ， 接 收 “start” 和 “stop” 
参数 。 
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7. 启动 HA 服务 


经 过 上 面 的 配置 ，HA 服务 已 经 搭建 完成 ， 需 要 分 别 在 两 个 节点 上 启动 HA 服务 ， 启 动 后 
可 以 用 ps 命令 查看 是 否 启动 成 功 ， 启 动 命令 如 【示例 9-35】 所 示 。 


【示例 9-35】 


若 没 有 错误 提示 则 正常 启动 了 HA 服务 ， 接 下 来 将 进行 HA 的 测试 。 


9.5.7 项目 测试 
经 过 上 面 的 配置 ，LVS 可 以 正常 提供 服务 ，HA 已 经 生效 ， 测 试 过 程 如 下 。 


1.LVS 测试 


设置 完毕 后 登录 192.168.3.200 进行 MySQL 实例 的 登录 测试 ， 模 拟 用 户 的 登录 请 求 ， 登 
录 的 用 户 名 为 admin、 密 码 为 admin， 用 户 名 和 密码 已 经 在 安装 MySQL 实例 时 分 配 。 


【示例 9-36】 


2. HA 测试 
HA 测试 可 以 通过 模拟 故障 , 停止 heartbeat 进程 或 直接 重启 主机 , 然后 观察 备 机 是 否 接 管 
了 主机 的 资源 ， 测 试 过 程 如 【示例 9-37】 所 示 。 
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【示例 9-37】 


此 时 VIP 位 于 主机 192.168.3.87，LVS 配置 正常 ， 重 启 主机 192.168.3.87， 观 察 备 机 
192.168.3.88 的 日 志 。 


【示例 9-38】 


在 以 上 日 志 中 , 首先 备 机 检测 到 了 主机 故障 ， 然 后 根据 预先 的 设置 接管 资源 ， 并 执行 自 定 
义 的 LVS 脚本 。 检 查 命令 如 【示例 9-39】 所 示 。 


【示例 9-39】 


其 他 故障 情况 下 的 接管 情况 可 根据 实际 情况 进行 测试 。 至 此 ，MySQL 平台 的 高 可 用 部 分 
已 经 介绍 完毕 。 若 对 其 他 方面 感 兴趣 ， 读 者 可 参考 其 他 资料 。 


9.6 ,第 


集群 技术 已 经 成 为 目前 应 用 的 热点 ， 本 章 主要 介绍 了 传统 的 集群 软件 及 集群 的 体系 结构 。 
本 章 以 集群 软件 LVS (Linux Virtual Server) 及 其 负载 调度 算法 为 例 ， 介 绍 了 高 可 用 集群 的 部 
署 过程 及 其 应 用 。LVS 提供 了 3 种 负载 均衡 方式 ，NAT 由 于 所 有 请 求 都 需要 经 过 前 端的 负载 
均衡 器 ， 限 制 了 集群 的 扩展 ; DR 模式 则 需要 集群 中 的 真实 服务 器 位 于 同一 局 域 网 ， 也 同样 限 
制 了 其 使 用 范围 ; 相 比 而 言 , 隧道 模式 是 最 灵活 的 一 种 , 可 以 跨 网 段 甚至 跨 地 域 , 需 重点 掌握 。 


MySQL 因 开 源 和 容易 使 用 的 特点 被 众多 开发 者 或 大 型 公司 所 采用 。 随 着 MySQ 


L 实例 的 


急剧 增长 会 带 来 一 系列 的 问题 ， 监 控 与 容 灾 更 需要 平台 化 。 本 章 最 后 以 上 百 个 MySQL 实例 作 


为 应 用 场景 ， 从 需求 分 析 、 可 选 方案 、 项 目 实现 、 项 目测 试 等 方面 介绍 LVS 和 HA 在 


E MySQL 


方面 的 应 用 。HA 主要 用 于 主 节点 故障 情况 下 的 资源 接管 , LVS 主要 保证 日 常 访问 的 负载 均衡 。 
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在 互联 网 高 速 发 展 的 今天 ,尤其 是 电子 商务 的 发 展 , 要 求 服务 器 能 够 提供 不 间断 服务 。 在 
电子 商务 中 ， 如 果 服 务 器 宕 机 ,造成 的 损失 是 不 可 估量 的 。 要 保证 服务 器 不 间断 服务 ， 就 需要 
对 服务 器 实现 元 余 。 在 众多 的 实现 服务 器 元 余 的 解决 方案 中 ，Pacemaker 为 我 们 提供 了 廉价 、 
可 伸缩 的 高 可 用 集群 方案 。 

本 章 首先 介绍 高 可 用 性 集群 技术 , 然后 介绍 高 可 用 软件 Pacemaker 和 keepalived 的 搭建 与 
应 用 。 

本 章 主要 涉及 的 知识 点 有 : 


e 高 可 用 性 集群 技术 
8 双 机 热 备 软件 Pacemaker 的 应 用 
@ 双 机 热 备 软件 keepalived 的 应 用 


] 0 . 1 高 可 用 性 集群 技术 


随 着 互联 网 的 增长 ， 互 联网 已 经 成 为 人 们 生活 中 的 一 部 分 ， 对 网 络 的 依赖 不 断 增加 ， 电 子 
商务 使 得 订单 一 天 24 小 时 不 间断 地 进行 成 为 可 能 。 如 果 服务 器 宕 机 ， 造 成 的 损失 是 不 可 估量 
的 。 每 一 分 钟 的 宕 机 都 意味 着 收入 、 生 产 和 利润 的 损失 ， 甚 至 市 场地 位 的 削弱 。 要 保证 服务 器 
不 间断 服务 , 就 需要 对 服务 器 实现 见 余 。 新 的 网 络 应 用 使 得 各 个 服务 的 提供 者 对 计算 机 的 要 求 
达到 了 空前 的 程度 ， 电 子 商务 需要 越 来 越 稳定 可 靠 的 服务 系统 。 


10.1.1 可 用 性 和 集群 


可 用 性 是 指 一 个 系统 保持 在 线 并 且 可 供 访问 , 有 很 多 因素 会 造成 系统 宕 机 , 包括 为 了 维护 
而 有 计划 的 宕 机 以 及 意外 故障 等 ,高 可 用 性 方案 的 目标 就 是 使 宕 机 时 间 以 及 故障 恢复 时 间 最 小 
化 ， 高 可 用 性 集群 的 原 义 为 High Availability Cluster， 简称 HA Cluster， 是 指 以 减少 服务 中 断 

( 宕 机 》 时 间 为 目的 的 服务 器 集群 技术 。 
所 谓 集群 ,是 提供 相同 网 络 资源 的 一 组 计算 机 系统 。 其 中 的 每 一 台 提 供 服务 的 计算 机 ， 可 


以 称 为 节点 。 当 一 个 节点 不 可 用 或 来 不 及 处 理 客户 的 请 求 时 , 该 请 求 将 会 转 到 另外 的 可 用 节点 
来 处 理 。 对 于 客户 端 应 用 来 说 ,不 必 关 心 资源 调度 的 细节 ,所 有 这 些 故障 处 理 流 程 集群 系统 可 
以 自动 完成 。 

集群 中 节点 可 以 以 不 同 的 方式 来 运行 ， 比 如 同时 提供 服务 或 具有 其 中 一 些 节点 提供 服务 ， 
另外 一 些 节点 处 于 等 待 状态 。 同 时 提供 服务 的 节点 ， 所 有 服务 器 都 同时 处 于 活动 状态 ,也 就 是 
在 所 有 节点 上 同时 运行 应 用 程序 ， 当 一 个 节点 出 现 故 障 时 ， 监 控 程 序 可 以 自动 剔除 此 节点 ， 而 
客户 端 觉察 不 到 这 些 变化 。 处 于 激活 状态 的 节点 在 故障 时 由 备 节 点 随时 接管 , 由 于 平时 只 有 一 
些 节 点 提供 服务 ， 可 能 会 影响 应 用 的 性 能 。 在 正常 操作 时 ， 另 一 个 节点 处 于 备用 状态 ， 只 有 当 
活动 的 节点 出 现 故 障 时 该 备用 节点 才 会 接管 工作 , 但 这 并 不 是 一 个 很 经 济 的 方案 , 因为 应 用 必 
须 同 时 采用 两 个 服务 器 来 完成 同样 的 事情 。 虽 然 当 出 现 故障 时 不 会 对 应 用 程序 产生 任何 影响 ， 
但 此 种 方案 的 性 价 比 并 不 高 。 


10.1.2 ”集群 的 分 类 

从 工作 方式 出 发 ， 集 群 分 为 下 面 3 种 : 

(1) 主 / 主 

这 是 最 常见 的 集群 模型 , 提供 了 高 可 用 性 。 这 种 集群 必须 保证 在 只 有 一 个 节点 时 可 以 提供 
服务 ， 提 供 客户 可 以 接受 的 性 能 。 该 模型 充分 利用 服务 器 软 硬 件 资源 。 每 个 节点 都 通过 网 络 
对 客户 机 提供 网 络 服务 。 每 个 节点 都 可 以 在 故障 转移 时 临时 接管 另 一 个 节点 的 工作 。 所 有 的 
服务 在 故障 转移 后 仍 保持 可 用 ， 而 后 端的 实现 客户 端 并 不 用 关心 ， 所 有 后 端的 工作 对 客户 端 
是 透明 的 。 

(2) 主 /从 

与 主 / 主 模型 不 同 ， 限 于 业务 特性 ， 主 /从 模型 需要 一 个 节点 处 于 正常 服务 状态 ， 而 另外 一 
个 节点 处 于 备用 状态 。 主 节点 处 理 客 户 机 的 请 求 ， 而 备用 节点 处 于 空闲 状态 ， 当 主 节点 出 现 故 
障 时 , 备用 节点 会 接管 主 节 点 的 工作 , 继续 为 客户 机 提供 服务 , 并 且 不 会 有 任何 性 能 上 的 影响 。 

(3) 混合 型 

混合 型 是 上 面 两 种 模型 的 结合 , 可 以 实现 只 针对 关键 应 用 进行 故障 转移 , 这样 可 以 对 这 些 
应 用 实现 可 用 性 的 同时 让 非 关 键 的 应 用 在 正常 运作 时 也 可 以 在 服务 器 上 运行 。 当 出 现 故 障 时 ， 
出 现 故 障 的 服务 器 上 不 太 关 键 的 应 用 就 不 可 用 了 ,但 是 那些 关键 应 用 会 转移 到 另 一 个 可 用 的 节 
点 上 ， 从 而 达到 性 能 和 容 灾 两 方面 的 平衡 。 


1 0 。 2 双 机 热 备 开源 软件 Pacemaker 


随 着 应 用 的 用 户 量 增长 , 或 在 一 些 系 统 关键 应 用 中 , 为 提供 不 间断 的 服务 保证 系统 的 高 可 
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用 是 非常 必要 的 。Pacemaker 就 是 一 个 用 于 保证 服务 高 可 用 性 的 组 件 ， 在 行业 内 得 到 了 广泛 应 
用 。 本 节 将 简要 介绍 Pacemaker 的 安装 与 使 用 。 


10.2.1 Pacemaker 概述 


Pacemaker 是 一 个 集群 资源 管理 器 ， 可 以 利用 管理 员 喜 欢 的 集群 基础 构件 提供 的 消息 和 成 
员 管理 能 力 来 探测 节点 或 资源 故障 ， 并 从 故障 中 恢复 ， 从 而 实现 集群 资源 的 高 可 用 性 。 与 之 前 
广泛 使 用 的 Heartbeat 相 比 ，Pacemaker 配置 更 为 简单 ， 并 且 支 持 的 集群 模式 多 样 、 资 源 管理 
的 方式 更 加 灵活 。 

Pacemaker 是 一 个 相当 庞大 的 软件 ， 其 内 部 结构 如 图 10.1 所 示 。 


Pengine 


id 


openais 


heartbeat 


10.1 Pacemaker 内 部 结构 
Pacemaker 的 主要 组 件 及 作用 如 下 : 


stonithd: 心跳 程序 ， 主 要 用 于 处 理 与 心跳 相关 的 事件 。 
lrmd: 本 地 资源 管理 程序 ， 直 接 调配 系统 资源 。 
pengine: 政策 引擎 ， 依 据 当前 集群 状态 计算 下 一 步 应 该 执行 的 操作 等 。 
CIB: 集群 信息 库 ， 主 要 包含 当前 集群 中 所 有 的 资源 及 资源 之 间 的 关系 等 。 
CRMD: 集群 资源 管理 守护 进程 。 
Pacemaker 工作 时 会 根据 CIB 中 记录 的 资源 ， 由 pengine 计算 出 集群 的 最 佳 状态 ， 及 如 何 
达到 这 个 最 佳 状 态 ， 最 后 建立 一 个 CRMD 实例 ， 由 CRMD 实例 来 做 出 所 有 集群 决策 。 这 是 
Pacemaker 简要 工作 过 程 ， 读 者 如 需 详 细 了 解 其 工作 过 程 ， 可 参考 相关 文档 了 解 。 


10.2.2 ”Pacemaker 安装 与 配置 


为 保证 系统 更 高 的 可 用 性 , 常常 需要 对 重要 的 关键 业务 做 双 机 热 备 , 比如 一 个 简单 的 Web 
服务 需要 做 双 机 热 备 。 常 见 的 方案 有 keepalived、Pacemaker 等 ， 本 节 以 Pacemaker 为 例 说 明 
双 机 热 备 的 部 署 过 程 。 

在 本 示例 中 ，Pacemaker 双 机 热 备 信息 如 表 10.1 所 示 。 
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表 10.1 Heartbeat 双 机 热 备 信息 说 明 


参数 说 明 


192.168.3.87 主 节点 
192.168.3.88 备 节点 


192.1683.118 


示例 实现 的 功能 为 : 正常 情况 下 由 192.168.3.87 提供 服务 ， 客 户 端 可 以 根据 主 节点 提供 的 
VIP 访问 集群 内 的 各 种 资源 ， 当 主 节点 故障 时 备 节点 可 以 自动 接管 主 节点 的 IP 资源 ， 即 VIP 
为 192.168.3.118。 

HA 的 部 署 要 经 过 软件 安装 、 环 境 配 置 、 资 源 配置 等 几 个 步骤 ， 本 小 节 将 简单 介绍 软件 安 
装 和 环境 配置 。 


(1) 最 新 的 CentOS 7.5 已 全 面 支持 Pacemaker 可 以 通过 yum 进行 安装 ， 安 装 过 程 如 【 示 
例 10-1】 所 示 。 


【示例 10-1】 


经 过 以 上 步骤 完成 Pacemaker 软件 的 安装 ， 主 要 的 软件 包 及 作用 如 表 10.2 所 示 。 
表 10.2 Pacemaker 软件 包 说 明 


参数 说 明 

集群 资源 管理 器 
corosync 集群 引擎 和 应 用 程序 接口 
pcs Pacemaker 配置 工具 
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(2) 两 个 节点 配置 主机 名 和 /etc/hosts 

配置 集群 时 ， 通 常 都 会 使 用 主机 名 来 标识 集群 中 的 节点 ， 因 此 需要 修改 hostname。 如 果 
使 用 DNS 解析 集群 中 的 节点 ， 解 析 延 时 会 导致 整个 集群 响应 缓慢 ， 因 此 任何 集群 都 建议 使 用 
hosts 文件 解析 而 不 是 DNS， 如 【示例 10-2】 所 示 。 


【示例 10-2】 


网 络 服务 重启 后 ， 可 以 通过 重新 登录 的 方式 查看 命令 提示 符 的 变化 。 


(3) 配置 SSH 密 匙 访问 
集群 节点 之 问 的 通信 是 通过 SSH 进行 的 , 但 SSH 访问 需要 密码 , 因此 需要 配置 密 匙 访问 ， 
如 【示例 10-3】 所 示 。 


【示例 10-3】 


第 10 章 双 机 热 备 


接 下 来 在 node2 上 重复 上 述 操作 ， 让 nodel 和 node2 之 间 均 可 以 使 用 密 匙 访问 。 


(4) 配置 集群 用 户 
Pacemaker 使 用 的 用 户 名 为 hacluster， 软 件 安装 时 此 用 户 已 创建 ， 但 还 没有 设置 密码 ， 此 
时 需要 设置 其 密码 ， 如 【示例 10-4】 所 示 。 


【示例 10-4】 


在 nodel 上 修改 hacluster 的 密码 之 后 ， 还 要 修改 node2 上 的 hacluster 用 户 密 码 ， 此 处 需 
要 注意 的 是 两 个 节点 上 的 hacluster 密码 应 该 相同 。 


(5) 配置 集群 节点 之 间 的 认证 
接 下 来 应 该 启动 pcsd 服务 , 并 配置 各 节点 之 间 的 认证 , 让 节点 之 间 可 以 互相 通信 , 如 【 示 
例 10-5】 所 示 。 


【示例 10-5】 
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配置 完 节点 间 认 证 后 环境 配置 就 完成 了 ， 接 下 来 就 可 以 新 建 集群 并 向 集群 中 添加 资源 了 。 


10.2.3 ”Pacemaker 资源 配置 


Pacemaker 可 以 为 多 种 服务 提供 支持 ， 例 如 Apache、MySQL、Xen 等 ， 可 使 用 的 资源 类 
型 有 IP 地 址 、 文 件 系统 、 服 务 、fence 设备 等 ， 本 小 节 将 以 简单 的 Apache 为 例 介绍 如 何 添加 
集群 和 资源 。 


fence 设备 国内 通常 称 为 远程 控制 卡 ， 在 节点 失效 后 集群 可 以 通过 fence 设备 将 失效 节 
点 服务 器 重启 。 不 同 厂商 的 fence 设备 使 用 方法 不 同 ， 使 用 之 前 需要 阅读 相关 的 硬件 
文档 了 解 。 


(1) 配置 Apache 
在 节点 nodel 和 node2 上 配置 Apache， 如 【示例 10-6】 所 示 。 


【示例 10-6】 
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Pacemaker 可 以 控制 httpd 服务 的 启动 和 关闭 ， 因 此 在 nodel 和 node2 上 配置 完 Apache 并 
测试 之 后 要 关闭 httpd 服务 。 


(2) 新 建 并 启动 集群 
完成 以 上 准备 工作 后 ， 就 可 以 在 节点 nodel 上 新 建 一 个 集群 并 启动 ， 如 【示例 10-7】 所 


【示例 10-7】 
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从 上 述 命令 可 以 看 到 在 nodel 上 新 建 集群 之 后 ， 所 有 的 设置 都 会 同步 到 node2 上 ， 而 在 集 
群 状态 中 可 以 看 到 nodel 和 node2 均 已 在 线 ， 集 群 使 用 的 服务 都 已 激活 并 启动 。 


(3) 为 集群 添加 资源 
从 第 (2) 步 集 群 状态 中 的 “Full list of resources” 中 可 以 看 到 集群 还 没有 任何 资源 ， 接 下 
来 将 为 集群 添加 VIP 和 服务 ， 如 【示例 10-8】 所 示 。 


【示例 10-8】 


(4) 调整 资源 
添加 资源 后 还 需要 对 资源 进行 调整 ， 让 VIP 和 Web 这 两 个 资源 “捆绑 ”在 一 起 ， 以 免 出 
现 VIP 在 节点 nodel 上 、 而 Apache 运行 在 node2 上 的 情况 。 另 一 种 情况 则 是 有 可 能 集群 先 启 
动 Apache， 再 启用 VIP， 这 是 不 正确 的 。 调 整 如 【示例 10-9】 所 示 。 
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【示例 10-9】 


(5) 优先 级 
如 果 nodel 与 node2 的 硬件 配置 不 同 , 那么 应 该 调整 节点 的 优先 级 , 让 资源 运行 于 硬件 配 


置 较 好 的 服务 器 上 ， 待 其 失效 后 再 转移 至 较 低 配置 的 服务 器 上 。 这 就 需要 配置 优先 级 
(Pacemaker 中 称 为 Location)， 此 配置 为 可 选 ， 如 【示例 10-10】 所 示 。 


【示例 10-10】 


在 本 例 中 并 没有 设置 fence 设备 ， 集 群 在 启动 时 可 能 会 提示 一 些 错误 ， 可 以 使 用 命令 pcs 
”property set stonith-enabled=false 禁用 fence 设备 。 读 者 也 可 以 使 用 在 Linux 上 的 虚拟 机 中 
使 用 虚拟 fence 设备 。 关 于 虚拟 fence 设备 的 使 用 方法 ， 可 参考 相关 文档 了 解 。 
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10.2.4 Pacemaker 测试 


经 过 上 面 的 配置 ， Pacemaker 集群 已 经 配置 完成 ， 重 新 启动 集群 所 有 设置 可 以 生效 ， 启 动 
过 程 如 【示例 10-11】 所 示 。 


【示例 10-11】 
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启动 后 ， 正 常情 况 下 VIP 设置 在 主 节点 192.168.3.87 上 。 如 主 节点 故障 ， 则 节点 node2 自 
动 接管 服务 ， 方 法 是 直接 重启 节点 nodel1， 然 后 观察 备 节点 是 否 接管 了 主机 的 资源 ， 测 试 过 程 
如 【示例 10-12】 所 示 。 


【示例 10-12】 


当 节 点 nodel 故障 时 ， 节 点 node2 收 不 到 心跳 请 求 ， 超 过 设置 的 时 间 后 节点 node2 启用 资 
源 接管 程序 ， 上 述 命令 输出 中 说 明 VIP 和 Web 已 经 被 节点 node2 成 功 接管 。 如 果 节 点 nodel 
恢复 且 设 置 了 优先 级 ，VIP 和 Web 又 会 重新 被 节点 nodel 接管 。 
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10.3 双 机 热 备 软件 keepalived 


关于 HA， 目 前 有 多 种 解决 方案 ， 比 如 Heartbeat、keepalived 等 ， 各 有 优 缺 点 。 本 节 主 要 
以 keepalived 为 例 说 明 keepalived 的 使 用 方法 。 


10.3.1 keepalived 概述 


keepalived 的 作用 是 检测 后 端 TCP 服务 的 状态 。 如 果 有 一 台 提供 TCP 服务 的 后 端 节点 死 
机 或 工作 出 现 故障 ，keepalived 将 及 时 检测 到 并 将 有 故障 的 节点 从 系统 中 剔除 。 当 提供 TCP 
服务 的 节点 恢复 并 且 正 常 提供 服务 后 ，keepalived 自动 将 提供 TCP 服务 的 节点 加 入 到 集群 中 。 
这 些 工作 全 部 由 keepalived 自动 完成 , 不 需要 人 工 干 涉 , 需要 人 工 做 的 只 是 修复 故障 的 服务 器 。 
keepalived 可 以 工作 在 TCP/IP 协议 栈 的 卫 层 、TCP 层 及 应 用 层 。 


(1) IP 层 
keepalived 使 用 IP 的 方式 工作 时 ,会 定期 向 服务 器 群 中 的 服务 器 发 送 一 个 ICMP 的 数据 包 ， 
如 果 发 现 某 台 服务 的 IP 地 址 没有 激活 ，keepalived 便 报告 这 台 服 务 器 异常 , 并 将 其 从 集群 中 吻 
除 。 常 见 的 场景 为 某 台 机 器 网 卡 损坏 或 服务 器 被 非法 关机 。 了 P 层 的 工作 方式 是 以 服务 器 的 IP 
地 址 是 否 有 效 作为 服务 器 工作 正常 与 否 的 标准 。 
(2) TCP 层 
这 种 工作 模式 主要 以 TCP 后 台 服 务 的 状态 来 确定 后 端 服务 器 是 否 工作 正常 。 如 MySQL 
服务 默认 端口 一 般 为 3306， 如 果 keepalived 检测 到 3306 无 法 登录 或 拒绝 连接 ， 则 认为 后 端 服 
务 异常 ，keepalived 将 把 这 人 台 服 务 器 从 集群 中 剔除 。 


(3) 应 用 层 
若 keepalived 工作 在 应 用 层 ， 则 keepalived 将 根据 用 户 的 设 定 检查 服务 器 程序 的 运行 是 否 
正常 。 如 果 与 用 户 的 设 定 不 相符 ，keepalived 将 把 服务 器 从 集群 中 剔除 。 
以 上 几 种 方式 可 以 通过 keepalived 的 配置 文件 实现 。 


10.3.2 ”keepalived 安装 与 配置 


本 节 实 现 的 功能 为 访问 192.168.3.118 的 Web 服务 时 ， 自 动 代 理 到 后 端的 真实 服务 器 
192.168.3.1 和 192.168.3.2，keepalived 主机 为 192.168.3.87、 备 机 为 192.168.3.88。 

最 新 的 版 本 可 以 在 http://www.keepalived.org 获取 ,本 示例 采用 的 版 本 为 1.2.16, 安装 过 程 
如 【示例 10-13】 所 示 。 

【示例 10-13】 


[root@nodel ~]# tar xvf keepalived-1.2.16.tar.gz 
[root@nodel ~]# cd keepalived-1.2.16 
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经 过 上 面 的 步骤 ，keepalived 已 经 安装 完成 ， 安 装 路 径 为 /usr/local/keepalived， 备 节点 操作 
步骤 同 主 节 点 。 接 下 来 进行 配置 文件 的 设置 ， 如 【示例 10-14】 所 示 。 


【示例 10-14】 
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备 节点 配置 大 部 分 同 主 节 点 ， 不 同 处 如 【示例 10-15】 所 示 。 
【示例 10-15】 


/etc/keepalived/keepalived.conf 为 keepalived 的 主 配置 文件 。 以 上 配置 state 表示 主 节点 为 
192.168.3.87， 备 节点 为 192.168.3.88 。 虚 拟 IP 为 192.168.3.118， 后 端的 真实 服务 器 有 
192.168.3.1 和 192.168.3.2， 当 通过 192.168.3.118 访问 Web 服务 时 ， 自 动 转 到 后 端的 真实 节点 ， 
后 端 节点 的 权重 相同 ， 类 似 轮 询 的 模式 。Apache 服务 的 部 署 可 参考 其 他 章节 ， 此 处 不 再 袭 述 。 


10.3.3 ”keepalived 启动 与 测试 


经 过 上 面 的 步骤 ，keepalived 已 经 部 署 完成 ， 接 下 来 进行 keepalived 的 启动 与 故障 模拟 测 
试 。 
1. 启动 keepalived 


安装 完毕 后 ，keepalived 可 以 设置 为 系统 服务 启动 ， 也 可 以 直接 通过 命令 行 启动 。 命 令 行 
启动 方式 如 【示例 10-16】 所 示 。 


【示例 10-16】 
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分 别 在 主 备 节点 上 启动 keepalived， 然 后 通过 ip 命令 查看 服务 状态 ， 在 主 节点 eth0 接口 
上 绑 定 了 192.168.3.118 这 个 VIP， 而 备 节点 处 于 监听 的 状态 。Web 服务 可 以 通过 VIP 直接 访 
问 ， 如 【示例 10-17】 所 示 。 


【示例 10-17】 


2. 测试 keepalived 


故障 模拟 主要 分 为 主 节点 重启 、 服 务 恢复 ,此 时 备 节点 正常 服务 ,当主 节点 恢复 后 主 节点 
重新 接管 资源 正常 服务 。 测 试 过 程 如 【示例 10-18】 所 示 。 


【示例 10-18】 
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当主 节点 故障 时 ， 备 节点 首先 将 自己 设置 为 MASTER 节点 ， 然 后 接管 资源 并 对 外 提供 服 
务 ， 主 节点 故障 恢复 时 ， 备 节点 重新 设置 为 BACKUP 模式 ， 主 节点 继续 提供 服务 。keepalived 
提供 了 其 他 丰富 的 功能 ， 如 故障 检测 、 健 康 检查 、 故 障 后 的 预 处 理 等 ， 更 多 信息 可 以 查阅 帮助 
文档 。 


10.4 i/ 峙 


互联 网 业务 的 发 展 要 求 服务 器 能 够 提供 不 间断 服务 , 为 避免 服务 器 宕 机 而 造成 损失 , 需要 
对 服务 器 实现 元 余 。 在 众多 实现 服务 器 元 余 的 解决 方案 中 ， 开 源 高 可 用 软件 Pacemaker 和 
keepalived 是 目前 使 用 比较 广泛 的 高 可 用 集群 软件 。 本 章 分 别 介绍 了 Pacemaker 和 keepalived 
的 部 署 及 应 用 。 两 者 的 共同 点 是 都 可 以 实现 节点 的 故障 探测 及 故障 节点 资源 的 接管 , 在 使 用 方 
面 并 没有 实质 性 的 区 别 ， 读 者 可 根据 实际 情况 进行 选择 。 
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KVM 虚 拟 化 和 oVirt+ 虚 拟 化 管理 平台 


虚拟 化 是 最 近 几 年 来 兴起 的 一 个 比较 实用 的 技术 。 从 各 企业 的 使 用 来 看 ,虚拟 化 带 来 了 许 
多 好 处 ， 例 如 细 化 资源 管理 、 低 成 本 投入 等 。CentOS 是 较 早 支持 虚拟 化 的 Linux 发 行 版 之 一 
早期 的 CentOS 支持 Xen 虚拟 化 , 但 随 着 Red Hat 公司 收购 KVM 虚拟 化 ，CentOS 主要 的 虚拟 
化 软件 由 Xen 过 渡 为 KVM。 本 章 将 简要 介绍 KVM 虚拟 化 及 oVirt 虚拟 化 管理 平台 的 使 用 。 
本 章 主 要 涉及 的 知识 点 有 : 
KVM 虚拟 化 简介 
CentOS 中 KVM 虚拟 化 使 用 方法 
oVirt 虚拟 化 管理 平台 简介 
oVirt 虚拟 化 管理 平台 的 安装 和 使 用 


KVM 虚拟 化 


KVM (Kernel-based Virtual Machine ) 是 一 个 基于 内 核 的 系统 虚拟 化 模块 ， 从 Linux 内 核 
版 本 2.6.20 开始 , 各 大 Linux 发 行 版 就 已 经 将 其 集成 于 发 行 版 中 。 与 Xen 等 虚拟 化 相 比 , KVM 
是 需要 硬件 支持 的 完全 虚拟 化 (Xen 的 早期 产品 是 基于 软件 的 半 虚 拟 化 产品 )。 KVM 由 内 核 加 
载 ， 并 使 用 Linux 系统 的 调试 器 进行 管理 ， 因 此 KVM 对 资源 的 管理 效率 相对 较 高 。 在 基于 
Linux 操作 系统 的 虚拟 化 产品 中 占有 较 大 份额 ， 本 节 将 简要 介绍 CentOS 7.5 中 KVM 的 安装 和 
使 用 。 


11.1.1 安装 KVM 虚拟 化 


同 之 前 的 CentOS 6 一 样 ，CentOS 7.5 也 将 KVM 作为 虚拟 化 的 基础 部 件 之 一 ， 因 此 可 以 
直接 通过 yum 工具 安装 。 本 小 节 简 要 介绍 如 何 使 用 yum 工具 安装 KVM 虚拟 化 。 

(1) 环境 配置 

由 于 KVM 使 用 的 是 基于 硬件 支持 的 虚拟 化 ， 因 此 CPU 必须 包含 了 相关 的 指令 集 。 可 以 


CentOS 7.5 系统 管理 与 运 维 实战 】 


在 Linux 系统 中 查看 CPU 是 否 包含 了 相关 指令 集 ， 如 【示例 11-1】 所 示 。 
【示例 11-1】 


查看 CPU 支持 之 后 ， 还 需要 修改 SELinux 设置 ， 将 文件 /etc/sysconfig/selinux 中 的 
“SELINUX=enforcing” 修 改 为 “SELINUX=disabled” 并 重启 系统 。 


如 果 系 统 中 查看 CPU 支持 没有 相应 标志 ， 可 能 需要 修改 BIOS 相关 设置 以 获得 支持 。 关 
于 修改 BIOS 设置 ， 读 者 可 自行 阅读 相关 文档 修改 。 


(2) 安装 KVM 
由 于 使 用 yum 工具 安装 ， 因 此 必须 正确 设置 IP 地 址 、DNS 等 信息 ， 确 保 网 络 畅通 。 安 装 
过 程 如 【示例 11-2】 所 示 。 


【示例 11-2】 


(3) 开启 服务 
安装 完成 后 还 需要 开启 libvirtd， 以 开启 相关 支持 : 


(4) 桥接 网 络 
在 虚拟 机 的 网 络 连接 中 ,使 用 最 多 的 莫 过 于 桥接 网 络 。 所 谓 桥接 网 络 ,是 指 将 物理 网 络 连 
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接 到 虚拟 机 中 。 新 安装 的 KVM 还 没有 桥接 网 络 ， 需 要 手动 添加 。 添 加 过 程 如 【示例 11-3】 所 示 。 
【示例 11-3】 


桥接 网 络 设置 完 后 ，KVM 就 已 经 安装 完成 了 。 


11.1.2 ”KVM 虚拟 机 的 管理 方法 
安装 完 Linux 系统 后 ， 就 可 以 管理 KVM 虚拟 机 了 。 管 理 KVM 虚拟 机 通常 可 以 使 用 两 种 
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方法 ， 其 一 是 使 用 Linux 系统 图 形 界面 下 的 虚拟 系统 管理 器 ， 其 二 是 使 用 命令 的 方式 ,本 小 节 
将 分 别 介绍 这 两 种 方式 。 


1. 虚拟 系统 管理 器 

虚拟 系统 管理 器 由 软件 包 virt-manager 提供 ， 可 以 使 用 yum 工具 安装 “yum install 
virt-manager”。 安装 完 后 可 以 先 单 击 桌 面 右 上 角 的 “应 用 程序 ” 然后 依次 单 击 “系统 工具 ” 
和 “虚拟 系统 管理 器 ”， 弹 出 虚拟 系统 管理 器 界面 ， 如 图 11.1 所 示 。 


虚拟 系统 管理 器 
文件 (F) 编辑 (E) 查看 (V) 帮助 (H) 
| 打开 n 


~ ”CPU 使 用 率 


图 11.1 虚拟 系统 管理 器 


由 于 没有 新 建 任何 KVM 虚拟 机 ， 因 此 在 虚拟 系统 管理 器 中 没有 看 到 任何 虚拟 机 。 虚 拟 系 
统管 理 器 可 以 用 来 创建 、 删 除 虚拟 机 ， 还 可 以 管理 虚拟 机 电源 、 编 辑 硬件 等 ， 几乎 所 有 功能 都 
可 以 在 虚拟 系统 管理 器 中 实现 。 


2. 命令 方式 


除了 图 形 界面 工具 虚拟 系统 管理 器 之 外 ，KVM 还 提供 了 一 些 命令 工具 ， 使 用 这 些 命令 工 
具 也 可 以 达到 管理 虚拟 机 的 目的 ， 常 见 的 命令 形式 如 表 11.1 所 示 。 


表 11.1 管理 虚拟 机 的 常见 命令 形式 


命令 形式 作用 
用 于 创建 虚拟 机 ， 具 体 选项 可 参考 其 手册 页 了 解 
查看 所 有 虚拟 机 


Virsh start name 启动 名 为 name 的 虚拟 机 
Virsh destroy name 停止 名 为 name 的 虚拟 机 
Virsh undefine name 删除 名 为 name 的 虚拟 机 
Virsh console name 连接 到 名 为 name 的 虚拟 机 的 控制 台 


除 以 上 列举 的 命令 形式 之 外 还 有 许多 其 他 形式 的 用 途 各 异 的 命令 , 读者 可 自行 阅读 virsh 
的 手册 页 了 解 ， 此 处 不 再 袭 述 。 
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安装 完 KVM 虚拟 机 之 后 ， 就 可 以 创建 虚拟 机 并 安装 操作 系统 了 。 创 建 虚拟 机 可 以 使 用 图 
形 界 面 中 的 虚拟 系统 管理 工具 ， 也 可 以 使 用 virt-install 命令 ， 本 节 将 以 虚拟 系统 管理 工具 创建 
Linux 虚拟 机 为 例 介绍 如 何 创建 虚拟 机 。 

打开 虚拟 系统 管理 器 ， 确 保 主 界面 中 的 “(QEMU/KVM)” 处 于 连接 状态 ， 并 在 之 上 单 击 
鼠标 右键 ， 在 弹出 的 菜单 中 选择 “新 建 (N)”， 将 弹出 新 建 虚拟 机 向 导 ， 如 图 11.2 所 示 。 


i 


新 建 虚 拟 机 x 


连接 (0) : QEMU/KM 


选择 如 何 支 装 操 作 系 统 
加 本 地 安装 介质 (I5O 映像 或 者 光驱 )(L) 
O 〇 网 络 安装 ()， 可 为 HTTP、FTP 或 者 NFS。 
网 络 引导 (PXE)(B) 
加 导入 现 有 磁盘 映像 (日 
取消 (C) 后 退 (B) 前 进 (F) 


图 11.2 新 建 虚拟 机 向 导 
新 建 虚 拟 机 向 导 要 求 选择 安装 介质 的 位 置 ， 从 图 11.2 中 可 以 看 到 KVM 支持 本 地 安装 、 
网 络 安装 、PXE 引导 安装 (需要 操作 系统 支持 ) 及 使 用 现在 硬盘 文件 几 种 方式 。 此 处 使 用 ISO 
光盘 映像 文件 安装 ， 因 此 选择 “本 地 安装 介质 ”， 单 击 “前 进 ” 按 钮 ， 向 导 要 求 输入 ISO 光盘 
映像 文件 路 径 或 使 用 光驱 ， 如 图 11.3 所 示 。 


CE Si 


定位 您 的 安装 介质 
站 使 用 cD-R 必 或 DvD 


全 使 用 I5O 映像 : 


加 


民 根据 安装 介质 自动 侦 测 搂 作 系统 (U) 
操作 系统 类 型 (T) : - 
版 本 (V) : 


取消 (C] 后 退 (B) 前 进 (F) 


图 11.3 选择 光盘 映像 和 操作 系统 类 型 


此 时 选择 “使 用 ISO 映像 ”并 单 击 后 面 的 “浏览 ”按钮 ， 将 弹出 “定位 ISO 介质 卷 ” 界 
面 ， 如 图 11.4 所 示 。 
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选择 存储 卷 二 


大 小 : 7 了 7346 了 Free11025 G8 InUse 


回回 局 世 EN 
图 11.4 “定位 ISO 介质 卷 ” 界面 


单 击 左 下 角 的 “本 地 浏览 ”按钮 , 在 弹出 的 界面 正确 选择 Linux 安装 光盘 ISO 映像 所 在 位 
置 ， 并 返回 选择 光盘 映像 和 操作 系统 类 型 界面 。 软 件 可 能 不 能 正确 识别 ISO 映像 的 操作 系统 ， 
因此 可 以 取消 选择 “根据 安装 介质 自动 侦 测 操作 系统 类 型 ”选项 , 并 在 之 后 的 操作 “系统 类 型 ” 
和 “版 本 ”中 正确 选择 。 在 本 例 中 将 安装 CentOS 7.5， 由 于 CentOS 是 RHEL 的 重 编译 版 ， 二 
者 之 间 的 区 别 很 小 ， 因 此 此 处 可 选择 “Linux” 及 “Red Hat Enterprise Linux 7.5”。 然 后 单 击 前 
进 按钮 ， 进 入 内 存 和 CPU 设置 界面 ， 如 图 11.5 所 示 。 


『 


新 建 虚拟 机 


选择 内 存 和 CPU 设置 
内 存 (M)，RAM : |1024 一 + | MiB 
主机 中 最 多 有 377L MB 可 用 


CPU : 1 十 
最 多 有 4 可 用 


取消 (c) 后 退 (B) 前 进 (F) 


11.5 内 存 和 CPU 设置 界面 
在 内 存 和 CPU 设置 界面 需要 对 虚拟 机 的 内 存 容量 及 CPU 数量 进行 设置 , 通常 情况 下 内 存 
容量 越 大 、CPU 数量 越 多 ， 表 示 虚 拟 机 性 能 越 好 。 此 处 可 以 按 需 要 进行 设置 ， 如 果 没 有 特殊 
需求 ， 也 可 以 保持 默认 设置 。 设 置 完 成 后 ， 单 击 “ 前 进 ” 按 钮 ， 进 入 存储 设置 界面 ， 如 图 11.6 
所 示 。 
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新 建 庶 拟 机 


| 
三 生成 


巴 


器 为 虚拟 机 启用 存储 (E) 


二 在 计算 机 硬盘 中 创建 磁盘 映像 (R) 
9.0 - +|6B 
29.9 GiB available in the default Location 
口 立 即 分 配 束 名 


斑 个 答 熏 (A) 前 


站 选择 管理 的 或 者 其 它 现 有 存储 (M) 


”取消 (C) ”| 后 退 (B) | | 前 进 (F) 


图 11.6 设置 存储 界面 


在 存储 设置 界面 需要 为 虚拟 机 设置 合适 的 磁盘 空间 ,此 处 按 需 要 进行 设置 即 可 。 需要 注意 
的 是 ， 如 果 需 要 使 用 迁移 功能 ， 此 时 需要 将 硬盘 映像 的 存储 位 置 选择 到 远程 存储 上 ， 而 不 是 本 
地 磁盘 中 。 选 择 合 适 的 磁盘 容量 后 ， 单 击 “ 前 进 ” 按 钮 ， 接 下 来 向 导 要 求 用 户 确认 配置 ， 如 图 
11.7 所 示 。 


新 建 虚拟 机 x 


准备 开始 安装 
名 称 (N) Centos7.5 
操作 系统 : Red Hat Enterprise Linux 7.5 


安装 ;本 地 光驱 /映像 
内 存 : 1024 MiB 
CPU: 1 
存储 : 5.0 GiB Naribyibvirtimages/Centos75qcow2 
口 在 安装 前 自 定义 配置 (U) 
选择 网 络 (E) 
入 林寺 择 网 络 
指定 共享 设备 名 称 » 


取消 (C) 。 后 退 (B) 。 ”完成 (F) 


图 11.7 确认 设置 


在 确认 设置 界面 ， 向 导 会 将 之 前 的 设置 罗列 出 来 ， 并 自动 为 虚拟 机 命名 (由 于 之 前 的 虚拟 
机 类 型 中 选择 为 RHEL7.5， 此 处 向 导 自 动 命名 为 RHEL7.5， 可 更 改 为 CentOS 7.5， 可 保持 默 
认 )、 添 加 网 卡 。 在 高 级 选项 中 可 以 定义 虚拟 机 网 络 ， 此 处 选择 之 前 设置 的 桥接 网 络 br0。 确 
认 所 有 设置 都 正确 后 ， 单 击 “ 完 成 ”按钮 即 可 完成 虚拟 机 的 创建 工作 。 

在 向 导 完成 虚拟 机 创建 之 后 , 虚拟 系统 管理 器 会 立即 打开 虚拟 机 电源 , 并 显示 虚拟 机 的 控 
制 台 ， 如 图 11.8 所 示 。 
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Centos75 - QEMU/KYM 攻 玫 本: 


图 11.8 ”虚拟 机 控制 台 


操作 系统 ， 因 此 虚拟 机 使 用 了 之 前 指定 的 ISO 光盘 映像 引导 ， 
可 以 使 用 虚拟 机 了 。 


由 于 新 的 虚拟 机 还 没有 
此 时 只 需要 将 操作 系统 正确 安装 家 


11.1.4 使 用 virt-install 创建 虚拟 机 


使 用 图 形 界 面 创建 虚拟 机 只 适合 能 接触 到 系统 桌面 的 情况 ,无 论 是 直接 在 物理 机 上 操作 还 
是 通过 VNC 远程 操作 均 可 。 但 有 许多 计算 机 可 能 并 没有 安装 桌面 ， 用 户 可 能 更 希望 通过 远程 
的 方式 访问 虚拟 机 ， 就 像 VMware 的 ESX 那样 通过 客户 端 远 程 操 作 虚 拟 机 。 这 时 可 行 的 方法 
通常 有 两 种 :其 一 是 使 用 VNC， 其 二 是 使 用 SPICE 协议 。 本 小 节 将 以 不 使 用 图 形 界面 为 例 介 
绍 如 何 通过 上 述 方法 创建 和 访问 虚拟 机 。 


1. VNC 远程 访问 


由 于 virt-install 的 选项 和 参数 众多 ， 因 此 在 使 用 virt-install 创建 虚拟 机 之 前 建议 先 阅读 手 
册页 详细 了 解 其 参数 和 选项 的 使 用 方法 。 此 处 仍 以 CentOS 7.5 做 示例 ， 其 创建 命令 如 【示例 
11-4】 所 示 。 


【示例 11-4】 

[root@localhost ~]# virt-install -n centos7.5 -r 1024 \ 

> --disk /var/lib/libvirt/images/centos7.5.img,size=5\ 

> --network bridge=br0 --os-type=linux --os-variant=rhel7.5 \ 
> --cdrom /iso/CentOS-7-x86_64-DVD-1804.iso \ 

> --graphics vnc,port=5910,1isten='0.0.0.0',password='redhat' 


Starting install... 
Allocating '‘'centos7.5.img" 1 5 GB 00:00 
Creating domain... 1 0 B 00:00 
Cannot open display: 
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【示例 11-4】 创 建 虚拟 机 时 使 用 的 选项 及 参数 如 下 : 


@ 常规 设置 : 选项 n 和 上 分 别 指定 了 虚拟 机 的 名 称 和 内 存 容量 。 

@ 磁盘 设置 : 选项 disk 用 于 设置 磁盘 参数 。 参 数 /varlib/libvirUimages/CentOS 7.5.img 表 
示 磁 盘 文 件 名 及 存放 路 径 ，size 参数 则 设置 磁盘 容量 。 

9 ”网络 选项 : 选项 network 用 于 设置 虚拟 机 的 网 络 。 参 数 bridge=br0 表示 使 用 桥接 网 络 
br0。 

e@ 操作 系统 类 型 : 选项 os-type 用 于 设置 操作 系统 类 型 ，os-variant 表示 操作 系统 的 版 本 。 

e 光驱 设置 : 选项 cdrom 在 此 示例 中 用 于 设 定 ISO 光盘 映像 的 路 径 。 

se 图 形 选 项 : 选项 graphics 用 于 设置 图 形 、 监 视 器 等 。 参 数 
vnc,port=5910,listen='0.0.0.0',password=keep 表示 使 用 VNC 作为 监视 器 ， 端 口 为 5910 
(对 应 的 桌面 号 为 10 ) ,访问 密码 为 keep，listen="'0.0.0.0' 表 示 在 物理 机 的 所 有 接口 上 


| 以 上 均 为 较 简单 的 设置 ， 使 用 其 他 的 参数 还 可 以 做 更 为 复杂 的 设置 ， 例 如 设置 硬件 的 厂商 | 
和 类 型 等 ， 读 者 可 自行 参考 相关 文档 ， 此 处 不 再 歼 述 。 


从 【示例 11-4】 的 两 条 命令 输出 中 可 以 看 到 ， 虚 拟 机 已 经 建立 并 在 5910 端口 监听 。 此 时 
可 以 在 远程 的 Windows 计算 机 上 打开 VNC Viewer 访问， 如 图 11.9 所 示 。 


oa) XN) 


Fie View Help 
| 92168228132 


图 11.9 VNC Viewer 
在 VNC Viewer 中 输入 服务 器 的 卫 地 址 和 桌面 号 (注意 不 是 端口 号 )， 单 击 “ 确 定 ”按钮 ， 
并 输入 建立 虚拟 机 时 设置 的 密码 就 可 以 访问 到 建立 的 虚拟 机 了 ， 如 图 11.10 所 示 。 
使 用 VNC Viewer 访问 虚拟 机 时 ，VNC Viewer 也 支持 向 虚拟 机 发 送 按键 指令 。 发 送 按键 
指令 时 在 窗口 上 方 的 标题 栏 中 单 击 右键 ， 即 可 弹出 指令 菜单 ， 如 图 11.11 所 示 。 
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本 “还原 (R) 
移动 (M) 
CENTOS 7INSTALLATION 大 :NS) 
= 一 最 MUN) 
CentOS WELCOME TO CENTOS 7. ™ 
x 关闭 (QO Alt+F4 
ee 
| 
相对 指针 运动 (P) 
Can 
Alt 
发 兰 F8 
发 送 Ctrl-Ak-Del NR 
局 新 屏幕 (H) 
gn Gong korg sm crm 新 于 入 接 (W).。 
和 运 项 (0).. 
连接 信息 人. 
= ss) er- 关于 (A)-… 
11.10 ”使 用 VNC Viewer 访问 虚拟 机 图 11.11 指令 菜单 


从 图 11.11 中 可 以 看 到 ， 指 令 菜单 中 有 一 些 VNC Viewer 无 法 捕获 的 快捷 键 ( 使 用 这 些 快 
捷 键 会 被 Windows 或 其 他 软件 捕获 )， 用 鼠标 单 击 相应 的 菜单 项 就 可 以 向 虚拟 机 发 送 快捷 键 。 


2. SPICE 远程 访问 


与 VNC 远程 访问 相 比 ，SPICE 访问 更 加 优秀 ， 除 了 完全 实现 VNC 的 功能 ，SPICE 还 可 
以 支持 视频 播放 GPU 加 速 、 音 频传 输 、 连 接 加 密 、 多 桌面 及 USB 设备 远程 传输 等 。 但 SPICE 
的 缺点 也 比较 明显 ，SPICE 的 配置 相对 比较 复杂 。 


(1) 安装 软件 
在 使 用 SPICE 之 前 必须 确保 系统 中 已 经 安装 有 spice-server 等 软件 包 ， 如 果 没 有 安装 可 参 
考 【 示 例 11-5】。 


【示例 11-5】 


示例 所 示 的 软件 包 中 spice-gtk3 是 一 个 SPICE 客户 端 ，spice-server 和 spice-protocol 用 于 
实现 SPICE 服务 器 。 

(2) 生成 证 书 

由 于 SPICE 协议 是 可 以 加 密 的 ， 因 此 必须 要 为 其 生成 证 书 才能 使 用 ， 生 成 证 书 如 【示例 
11-6】 所 示 。 
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【示例 11-6】 


CentOS 7.5 系统 管理 与 运 维 实战 


本 小 节 中 的 证 书生 成 及 使 用 过 程 仅 为 参考 , 并 不 具备 在 生产 环境 中 使 用 的 条 件 。 由 于 本 书 
并 不 讨论 安全 问题 ,因此 关于 证 书 的 安全 性 、 证 书 的 使 用 等 问题 并 不 涉及 , 读者 可 自行 参 
考 相关 资料 了 解 。 


(3) 修改 配置 文件 


接 下 来 需要 修改 配置 文件 qemu.conf， 启 用 SPICE 的 加 密 功能 ， 修 改过 程 如 【示例 11-7】 
所 示 。 


【示例 11-7】 


第 11 章 KVM 虚拟 化 和 oVirt 虚拟 化 管理 平台 


(4) 创建 虚拟 机 
使 用 SPICE 协议 时 , 创建 虚拟 机 过 程 与 VNC 几乎 相同 ,不 同 的 是 此 处 需要 指定 控制 台 为 
SPICE， 如 【示例 11-8】 所 示 。 


【示例 11-8】 


由 于 在 本 例 中 使 用 的 是 自 建 证 书 ， 因 此 在 创建 虚拟 机 的 命令 选项 中 ， 并 没有 使 用 加 密 的 
SPICE。 创 建 完 虚 拟 机 之 后 ， 就 可 以 使 用 SPICE 客户 端 访问 虚拟 机 了 。 


(5) SPICE 客户 端 访 问 

SPICE 为 Windows 用 户 开发 了 相应 的 客户 端 程序 ， 读 者 可 以 从 其 官方 网 上 下 载 。 

客户 端 下 载 地 址 为 http://www.spice-space.org/download.html。 

官方 网 站 提供 两 种 访问 方法 , 其 是 SPICE 的 客户 端 , 另 一 个 是 Windows 版 的 Virt Viewer， 
安装 过 程 都 比较 简单 ， 根 据 官方 网 站 上 的 说 明 下 载 安装 即 可 。 

使 用 SPICE 客户 端 访 问 时 ， 直 接 输入 IP 地 址 、 端 口 及 密码 就 可 以 直接 访问 ， 如 图 11.12 
所 示 。 
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WELCOME TO CENTOS 7. 


TE rrr 


heg 


图 11.12 SPICE 客户 端 访 问 虚拟 机 
使 用 Virt Viewer 访问 时 , 会 要 求 输入 链接 地 址 ,链接 地 址 形 如 spice://ipaddress:port, 例如 
本 例 中 应 输入 “spice://192.168.228.132:5931”。 输 入 链接 地 址 后 就 可 以 连接 到 远程 虚拟 机 ， 如 
图 11.13 所 示 。 


图 11.13 ”Virt Viewer 远程 连接 


无 论 使 用 SPICE 客户 端 还 是 Virt Viewer 连接 ， 都 可 以 传输 虚拟 机 的 音频 、 使 用 本 地 USB 
设备 等 ， 与 VMware 公司 的 ESX 客户 端 相 同 。 


必 元 | 读者 可 以 阅读 相关 文档 了 解 SPICE 客户 端 及 Virt Viewer 的 更 多 使 用 方法 , 此 处 不 再 歼 述 。 


302 


第 11 章 KVM 虚拟 化 和 oVirt 虚拟 化 管理 平台 


] 1 .2 ovirt 虚拟 化 管理 平台 


oVirt 是 Red Hat 公司 下 的 RHEV (Red Hat Enterprise Virtualization， 红 帽 企业 虚拟 化 ) 的 
开源 版 本 ， 主 要 用 来 管理 和 部 署 虚 拟 化 主机 。ovVirt 由 两 部 分 组 成 ， 客 户 端 称 为 oVirt Node， 
与 VMware 公司 的 ESXi 类 似 ， 主 要 用 来 实现 主机 的 虚拟 化 ， 另 一 部 分 称 为 oVirt-engine， 类 
似 于 VMware vCenter， 主 要 用 来 管理 虚拟 化 主机 。 本 节 将 介绍 如 何在 CentOS 7.5 中 安装 和 使 
用 oVirt 虚拟 化 管理 平台 。 


11.2.1 oVirt-engine 虚拟 化 管理 平台 概述 


时 至 今日 ，KVM 虚拟 化 可 以 说 已 经 深入 人 心 ， 包 括 IBM、Ubuntu、Red Hat 在 内 的 许多 
Linux 发 行 版 都 将 其 作为 默认 的 kypervisor。 而 oVirt 虚拟 化 管理 平台 正 是 Red Hat 公司 下 的 
RHEYV 的 开源 版 本 ， 可 以 说 是 为 小 型 企业 应 用 环境 量 身 定制 , oVirt 提供 了 一 个 Web 管理 工具 ， 
利用 Web 管理 工具 可 以 实现 许多 功能 : 

@ 与 vCenter 类 似 ，oVirt 也 可 以 完成 虚拟 机 的 基本 管理 ， 包 括 创 建 虚 拟 机 、 快 照 功 能 、 

虚拟 机 模板 克隆 等 。 

e@ 高 可 用 的 在 线 或 离线 迁移 虚拟 机 (需要 存储 支持 ) 。 

e@ 查看 、 统 计 虚 拟 机 、 宿 主机 的 性 能 。 

e@ 多 样 化 的 网 络 连接 。 


oVirt 虚拟 化 管理 平台 的 功能 还 有 许多 ， 此 处 不 再 一 一 列举 ， 读 者 可 自行 参考 相关 资料 了 
解 。 尽 管 oVirt 还 有 许多 缺点 ， 例 如 不 能 精细 地 调节 系统 资源 等 ， 但 由 于 其 成 本 低 、 使 用 方便 ， 
深 受 小 型 企业 用 户 喜 爱 。 


11.2.2 ”oVirt 管理 平台 的 安装 


oVirt 管理 平台 的 安装 过 程 十 分 简便 ， 官 方 网 站 上 对 其 有 十 分 详尽 的 说 明 。 

oVirt 官方 网 站 为 http://www.ovirt.org/Home。 

oVirt 管理 平台 目前 的 版 本 为 3.5， 本 小 节 将 以 3.5 为 例 介绍 其 在 CentOS 7.5 上 的 安装 过 程 。 

在 开始 安装 之 前 还 需要 安装 一 些 额外 的 部 件 ， 主 要 包括 DNS 域名 服务 器 、iSCSI 存储 和 
NFS 存储 。DNS 域名 服务 器 的 安装 过 程 可 参考 第 3 章 中 的 相关 章节 ， 目 标 是 能 解析 
oVirt-engine、Node 及 NFS 存储 等 。iSCSI、NFS 存储 可 用 来 虚拟 相关 数据 ，NFS 存储 还 需要 
用 来 存储 ISO 光盘 映像 。 本 节 将 采用 一 个 简单 的 结构 简单 介绍 oVirt 平 台 的 使 用 ， 其 主要 的 主 
机 、IP 地 址 等 信息 如 表 11.2 所 示 。 
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表 11.2 ovVirt 平 台 示 例 主机 信息 
域名 IP 地 址 说 明 


172.164535 用 于 安装 oVirtengine 
172.164539 用 于 安装 oVirt Node 


172.1645.42 iSCSI 存储 
172.16.45.35 NFS 存储 ， 用 于 建立 ISO 域 


在 本 示例 中 ，NFS 存储 、DNS 域名 服务 器 、oVirt 管理 平台 为 同一 台 主机 ， 为 了 减少 延迟 ， 
在 实际 使 用 过 程 中 NFS 存储 直接 使 用 IP 地 址 而 不 是 域名 。 与 VMware 的 ESXi 相同 ，oVirt 也 
支持 包括 Vlan 内 的 多 种 网 络 ， 但 在 本 示例 中 并 不 会 涉及 。 


(1) 安装 软件 仓库 
由 于 oVirt 在 RHEL 及 CentOS 中 推荐 使 用 yum 的 方式 安装 ， 因 此 第 一 步 首先 要 安装 yum 


仓库 包 : 


以 上 命令 将 从 官方 网 站 上 直接 下 载 包 含有 仓库 配置 文件 Key 等 文件 的 安装 包 ， 并 进行 安 
装 ， 安 装 完成 后 可 以 从 目录 /etc/yum.repos.d 中 查看 到 软件 仓库 配置 文件 。 


(2) 安装 oVirt-engine 

在 管理 机 上 安装 oVirt-engine 之 前 , 确保 已 经 设置 好 IP 地 址 、 系 统 软 件 已 全 部 为 最 新 版 本 
等 信息 , 网 络 接口 上 最 好 使 用 静态 IP 地 址 。 接 下 来 就 可 以 安装 oVirt-engine 了 , 安装 过 程 如 【 示 
例 11-9】 所 示 。 


【示例 11-9】 


由 于 【示例 11-9】 所 示 的 命令 需要 从 oVirt 官方 网 站 上 下 载 近 900MB 的 数据 ， 因 此 整个 
安装 过 程 可 能 要 持续 约 1 小 时 ， 需 耐心 等 待 。 
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(3) 初始 化 oVirt-engine 
安装 完成 后 , 还 需要 对 oVirt-engine 进行 初始 化 ,这 个 过 程 主要 是 用 来 配置 密码 、 防 火 墙 、 
数据 库 、ISO 域 等 信息 ， 如 【示例 11-10】 所 示 。 


【示例 11-10】 
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CentOS 7.5 系统 管理 与 运 维 实战 


安装 过 程 中 的 许多 设置 保持 默认 即 可 。 需 要 注意 的 是 ， 以 上 初始 化 过 程 根据 不 同 的 计算 机 
情况 ， 可 能 会 稍 有 不 同 。 


| 在 初始 化 oVirt 管理 平台 的 过 程 中 可 能 会 失败 ， 此 时 可 以 继续 使 用 engine-setup 命令 尝试 
重新 初始 化 。 


安装 完成 后 即 可 在 浏览 器 中 输入 地 址 “http://ipaddress/” 访 问 管理 平台 ， 如 图 11.14 所 示 。 
管理 平台 分 为 三 个 功能 门户 区 , 功能 分 别 是 用 户 管理 、 平台 管理 及 实时 报表 , 可 以 使 用 初 
始 化 过 程 中 设置 的 admin 用 户 登录 管理 。 
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Ovirt-Engine - Mozilla Firefox 


O Ovrt Engne wt 


| 


所 @17216.45.35/orr: cnsne/locne 


OVirt OPEN VIRTUALIZATION MANAGER 


图 11.14 ovVirt 管理 平台 


11.2.3”oVirt Node 安装 

oVirt Node 的 作用 与 VMware 的 ESXi 相似 ， 也 是 一 个 基于 Linux 的 操作 系统 ， 主 要 用 来 
实现 虚拟 机 运行 和 基本 管理 。ovirt Node 的 官方 下 载 地 址 为 
http://resources01.phx.ovirt.org/releases/stable/iso/ 。 

在 官方 提供 的 下 载 地 址 中 ， 有 多 个 版 本 的 oVirt-node 提供 下 载 ， 本 例 中 将 采用 
ovirt-node-iso-3.0.4-1.0.201401291204.el6 作为 示例 安装 使 用 。 

下 载 oVirt Node 光 得 映像 并 刻录 为 光盘 后 ,就 可 以 使 用 光 担 引导 系统 。 引 导 系 统 后 ,其 引 
导 菜 单 如 图 11.15 所 示 。 


or 3.6.4 (1.6.281491291284.e16) 


图 11.15 oVirt-node 引导 菜单 


oVirt Node 的 引导 菜单 中 提供 了 比较 丰富 的 功能 选项 。 需要 注意 的 是 , 如 果 选 择 重新 安装 ， 

就 必须 输入 原 系统 的 密码 方 可 进行 。 在 本 例 中 选中 “Install or Upgrade”， 并 按 Enter 键 进 入 下 

- 步 安装 。 接 下 来 安装 程序 会 检测 系统 中 是 否 已 安装 有 oVirt Node, 并 要 求 选择 进一步 的 操作 ， 
如 图 11.16 所 示 。 
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图 11.16 “安装 选择 界面 
如 果 系 统 中 已 安装 有 oVirt Node， 就 会 在 安装 选择 界面 中 显示 ， 并 提示 用 户 选 择 是 否 重 新 
安装 或 升级 原 有 系统 。 
于 oVirt Node 底层 仍然 采用 的 是 KVM 虚拟 化 , 因此 安装 程序 将 检测 系统 是 否 支 持 硬件 
虚拟 化 。 如 图 11.16 所 示 ， 安 装 程序 提示 没有 在 当前 系统 中 检测 到 硬件 虚拟 化 支持 ， 此 时 可 参 
考 相关 资料 ， 在 BIOS 中 打开 硬件 虚拟 化 支持 选项 。 确 认 没有 任何 问题 ， 可 按 Enter 键 继续 安 
装 。 接 下 来 安装 程序 会 要 求 用 户 选择 键盘 布局 ， 如 图 11.17 所 示 。 


图 11.17 选择 键盘 布局 


键盘 布局 需要 按 实际 情况 进行 选择 ， 本 示例 中 将 保持 默认 ， 即 选择 “U.S. English”， 然 后 
将 光标 移动 到 “Continue ”上 按 Enter 键 继续 。 接 下 来 安装 程序 将 要 求 用 户 选择 安装 的 磁盘 ， 
如 图 11.18 所 示 。 


310 


第 11 章 KVM 虚拟 化 和 oVirt 虚拟 化 管理 平台 


图 11.18 ”磁盘 选择 
如 果 系 统 中 存在 多 个 磁盘 ， 需 要 在 磁盘 选择 界面 中 选择 合适 的 磁盘 安装 。 由 于 oVirt Node 
系统 占用 磁盘 空间 并 不 大 ， 并 且 现 在 的 服务 器 大 部 分 都 支持 U 盘 启 动 系统 ， 因 此 在 实际 应 用 
环境 中 ， 通 常 将 oVirt Node 安装 到 U 盘 中 ， 以 节省 磁盘 空间 。 在 本 例 中 将 采用 默认 存储 设备 ， 
在 默认 的 磁盘 上 按 Enter 键 选中 磁盘 ， 然 后 将 光标 移动 到 “Continue” 上 按 Enter 键 继续 。 接 下 
来 安装 程序 会 提供 一 个 默认 的 分 区 方案 ， 如 图 11.19 所 示 。 


图 11.19 确认 分 区 方案 


如 图 11.19 所 示 ， 安 装 程序 提供 了 一 个 默认 的 分 区 方案 要 求 用 户 确认 。 通 常 不 需要 修改 此 
默认 分 区 方案 ,将 光标 移动 至 “Next” 上 按 Enter 键 。 接 下 来 安装 程序 会 要 求 用 户 设置 用 户 admin 


的 密码 ， 如 图 11.20 所 示 。 
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图 11.20 设置 用 户 密码 


与 Linux 系统 不 同 的 是 ，oVirt Node 管理 员 不 再 是 root， 而 是 admin。 此 处 设置 好 admin 
的 用 户 密码 之 后 ， 就 可 以 将 光标 移动 到 Install 上 按 Enter 键 开 始 安装 了 。 

整个 安装 过 程 视 计算 机 性 能 不 同 而 不 等 ， 大 约 需要 3~10 分 钟 。 安 装 完成 后 ， 安 装 程序 会 
要 求 用 户 重新 启动 计算 机 ， 如 图 11.21 所 示 。 


11.21 安装 完成 


此 时 按 Enter 键 即 可 重新 启动 系统 ， 系 统 重启 后 界面 如 图 11.22 所 示 。 


11.22 oVirt Node 启动 界面 
此 时 输入 安装 时 设置 的 用 户 admin 及 其 密码 即 可 进入 oVirt Node。 
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11.2.4 ovVirt Node 设置 


oVirt Node 安装 完成 后 ， 还 需要 对 其 进行 设置 ， 主 要 包括 IP 地 址 、DNS 域名 、 管 理 密码 
等 。 进 入 oVirt Node 系统 , 选择 主 界面 左 侧 的 “Network” 此 时 右 侧 界面 将 显示 网 络 配置 界面 ， 
如 图 11.23 所 示 。 


图 11.23 网络 配置 界面 
在 网 络 配置 界面 中 的 “Hostname” 后 面 输入 主机 名 ,“DNS Server 1” 后 面 输入 域名 服务 
器 地 址 。 最 后 将 光标 移动 到 “Available System NICs” 下 面 的 网 络 接口 卡 eth0 上 ， 按 Enter 键 ， 
将 弹出 网 络 接口 配置 界面 ， 如 图 11.24 所 示 。 


图 11.24 网络 接口 配置 界面 


选中 “IPv4 Settings” 后 面 的 “Static”， 然 后 在 后 面 分 别 设置 PP 地 址 、 子 网 掩 码 及 默认 网 
关 ， 最 后 保存 退出 即 可 生效 。 
除了 网 络 设置 外 ， 还 需要 对 服务 器 (oVirt Engine) 进行 配置 ， 通 过 键盘 的 上 下 方向 键 选 
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中 左 侧 的 oVirt Engine， 此 时 右 侧 将 显示 oVirt Engine 配置 ， 如 图 11.25 所 示 。 


图 11.25 ”ovVirt Engine 配置 界面 


在 oVirt Engine 配置 界面 ， 需 要 配置 Management Server 的 IP 地 址 并 获取 证 书 ， 然 后 还 需 
要 为 SSH 守护 进程 设置 密码 。SSH 守护 进程 密码 主要 是 为 了 保证 oVirt Engine 能 正确 连接 到 
oVirt Node， 设 置 好 以 上 两 项 之 后 将 光标 移动 到 “Save & Register” 并 按 Enter 键 即 可 生效 。 


11.2.5_oVirt 虚拟 化 管理 平台 设置 


完成 前 面 几 个 小 节 的 内 容 之 后 ， 就 可 以 将 相关 的 资源 添加 到 oVirt Engine 管理 平台 ， 并 使 
用 这 些 资源 建立 虚拟 机 了 ， 本 小 节 将 简单 介绍 如 何 添加 资源 及 管理 平台 设置 等 内 容 。 


性 


(1) 创建 数据 中 心 

在 oVirt 中 ， 一 台 或 几 台 版 本 相同 的 oVirt Node 组 成 一 个 集群 。 在 同一 集群 内 ， 位 于 不 同 
oVirt Node 之 上 的 虚拟 机 可 以 互 为 元 余 ， 即 其 中 一 台 Node 宕 机 ， 之 上 的 虚拟 机 会 自动 在 别 的 
Node 上 运行 。 多 个 集群 又 可 以 组 成 数据 中 心 , 数据 中 心 内 的 集群 将 共用 中 心 的 资源 ， 如 存储 、 
ISO 域 等 均 可 共用 ， 因 此 oVirt 虚拟 化 平台 管理 的 第 一 步 是 创建 数据 中 心 。 

本 节 将 采用 一 个 单 节点 Node 作为 示例 ， 介 绍 如 何 使 用 oVirt 平 台 。 首先 登录 oVirt 虚拟 化 
管理 平台 ， 并 单 击 主 界面 左 侧 的 “数据 中 心 ” 然后 选择 右 侧 的 “新 建 ”， 此 时 将 弹出 “新 建 数 
据 中 心 ” 窗 口 ， 如 图 11.26 所 示 。 


oVirt Engine 管理 平台 可 以 在 Linux 或 Windows 下 的 IE、Firefox 等 浏览 器 访问 , 但 各 版 本 
安装 的 软件 并 不 相同 ， 可 通过 单 击 管理 平台 主 界面 中 的 “控制 台 客户 资源 ”了 解 ， 此 处 不 
再 赣 述 。 
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新 建 数据 中 心 


11.26 “新 建 数据 中 心 ”窗口 


在 名 称 后 面 输入 数据 中 心 名 ， 类 型 选择 本 地 ,兼容 版 本 需要 选择 oVirt Node 的 版 本 ,在 本 
例 中 选择 3.4， 其 他 设置 保持 默认 即 可 ， 单 击 “确定 ”按钮 就 可 以 完成 数据 中 心 的 创建 。 


(2) 创建 集群 

完成 数据 中 心 的 创建 后 ， 管 理 平台 会 弹出 向 导 窗口 ， 要求 用 户 配置 一 个 新 的 集群 , 单 击 配 
置 集群 就 可 以 弹出 创建 集群 界面 。 如 果 没有 弹出 向 导 窗 口 , 可 以 在 左 侧 单 击 新 建 的 数据 中 心 名 ， 
然后 在 右 侧 选择 集群 选项 卡 ， 单 击 选项 卡 中 的 “新 建 ” 即 可 弹出 “新 建 集 群 ”窗口 ， 如 图 11.27 
所 示 。 


新 建 集群 


中心 me 4 
优化 
集群 证 略 名 称 Mycuster |] 
控制 台 撕 述 
隔离 第 略 注释 

E | 

启用 Vit 服务 民 

启用 Gluster 服务 站 

门 启用 设置 虚拟 机 维护 的 理由 
所 需 的 随机 数 生成 器 的 源 : 


11.27 “新 建 集群 ”窗口 
在 “新 建 集群 ”窗口 的 “常规 ”设置 中 ， 选 择 “ 数 据 中 心 ”( 系统 已 自动 选择 )， 输 入 集群 
名 ， 并 选择 Node 使 用 的 CPU 类 型 、 版 本 信息 ， 然 后 在 优化 设置 中 为 虚拟 机 设置 合适 的 优化 
策略 。 由 于 本 示例 中 采用 单 节点 Node， 因 此 集群 策略 可 略 过 ， 单 击 “确定 ”按钮 就 可 以 完成 
集群 创建 。 
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(3) 为 集群 添加 主机 

oVirt Node 在 管理 平台 中 称 为 主机 , 创建 完 集群 后 管理 平台 将 弹出 向 导 提示 用 户 添 加 或 选 
择 主机 。 如 果 没 有 弹出 向 导 ， 可 在 左 侧 窗 口中 依次 选择 新 建 的 数据 中 心 、 集 群 名 称 ， 在 右 侧 的 
主机 选项 卡 中 选择 “新 建 ” 即 可 弹出 “新 建 主机 ”窗口 ， 如 图 11.28 所 示 。 


[ee 
妆 据 中 心 MyDC 了 
电源 管理 
SPM pene [wus 直 
控制 台 一 使 用 Foreman 外 部 供应 商 
元 pedexampecom |] 
注 各 ree | 
地 址 [EEC] 
SSH 端 品 区 | 
验证 
用 户 名 root 
ER 
〇 ssH 公共 窑 钥 
避 级 台数 
自动 轩 的 主机 防火 寺 
便 用 JSON 协 
SsH 扒 Ep 
Sic2 Sc at.cl a7 do ad 22.02.7a cL 70.0014 13 ] 
的 入 主 机 入 或 天 动 从 主机 丈 履 
成 功 地 匡 取 了 指 印 


图 11.28 “新 建 主机 ”窗口 


在 新 建 主机 窗口 中 选择 主机 所 属 的 数据 中 心 和 集群 ， 然 后 在 名 称 、 地 址 、SSH 端口 中 正 
确 输入 oVirt Node 的 相应 信息 ， 最 后 在 验证 中 输入 主机 的 root 用 户 密码 。 如 果 需 要 验证 输入 
是 否 正确 ， 可 在 高 级 参数 中 的 “SSH 指 印 ”下 单 击 “获取 ” 超 链 接 ， 如 果 此 时 显示 SSH 指 印 
则 说 明 主 机 信息 输入 正确 ,否则 就 需要 检查 上 述 输入 。 由 于 本 示例 中 采用 单 节 点 ， 因 此 电源 管 
理 等 选项 可 略 过 (电源 管理 选项 主要 用 于 多 节点 集群 中 )， 单 击 “ 确 定 ” 按 钮 就 可 以 完成 主机 
添加 。 

主机 添加 完成 后 , 管理 平台 会 立即 要 求 主 机 初始 化 并 安装 启动 相关 服务 , 因此 在 添加 完成 
后 的 一 段 时 间 内 ， 主 机 将 处 于 不 可 用 状态 , 直到 上 述 步骤 完成 。 当 主机 完成 初始 化 、 安 装 等 步 
又 后 ， 会 立即 将 其 状态 更 新 为 Up， 如 图 11.29 所 示 。 

| 


新 建 编辑 罗 省 维护” 选 为 SPM 配置 本 周 ” 昌 ~ 分 配 标签 ”刷新 能 力 


名 称 lr 入 荐 数据 中 心 。 状态 。。 Y 虚拟 机 内 存 CPU 网 络 


SPM 
~ nogeexample com ® L72164539 MyClustst MOC Up 0) | ow 区 未 航 2 


图 11.29 主机 状态 


在 主机 “状态 ”一 栏 中 显示 为 Up， 表 明 主 机 已 初始 化 完成 并 可 用 。 如 果 主 机 状态 不 可 用 ， 
此 时 将 在 主 窗口 下 面 的 事件 中 显示 日 志 信息 ,也 可 以 在 右 侧 窗口 的 事件 选项 卡 中 查看 完整 的 日 
志 事 件 。 
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在 创建 数据 中 心 和 集群 时 ,一 定 要 注意 oVirtNode 的 版 本 及 硬件 类 型 ， 错 误 的 设置 将 会 因 
主机 与 数据 中 心 和 集群 信息 不 匹配 而 导致 主机 添加 失败 。 


11.2.6 ”配置 资源 


经 过 前 面 几 个 小 节 的 配置 ，oVirt 平台 已 经 可 以 正常 使 用 ， 但 虚拟 平台 的 最 终 目标 是 建立 
虚拟 机 ， 还 需要 存储 等 资源 ， 本 小 节 将 简要 介绍 如 何 配置 资源 。 


(1) 使 用 oVirt Node 本 地 存储 

oVirt 可 供 使 用 的 存储 方案 有 多 种 ， 例 如 Node 本 地 存储 、NFS、iSCSI 等 。 本 地 存储 虽然 
有 诸多 限制 〈 例 如 不 能 使 用 故障 迁移 )， 但 其 配置 简单 ， 特 别 适 合 单 节点 使 用 。 配 置 本 地 存储 
可 在 管理 界面 左 侧 单 击 系统 ， 然 后 在 右 侧 选择 存储 并 单 击 新 建 域 ， 将 弹出 “新 建 域 ”窗口 ， 如 
11.30 所 示 。 


反 述 
MyDC 三 地 的 ) 下! 让 


node example com 5| 


/data/images/rhev 


图 11.30 新建 本 地 存储 域 

选择 正确 的 数据 中 心 ， 并 在 “ 域 功能 /存储 类 型 ”中 选择 “Data/Local on Host”， 系 统 会 自 
动 在 使 用 主机 和 路 径 中 填 入 相应 的 参数 , 最 后 单 击 “ 确 定 ”按钮 即 可 添加 完成 。 需 要 注意 的 是 ， 
仅 当 安装 oVirt Node 时 添加 了 数据 分 区 时 ， 本 地 存储 选项 才 可 用 ， 否 则 将 无 法 使 用 本 地 存储 。 

(2) 建立 ISO 域 

ISO 域 是 由 所 有 数据 中 心 共享 使 用 的 存储 资源 ， 其 作用 是 为 虚拟 机 提供 安装 光盘 映像 。 在 
11.2.2 小 节 的 安装 过 程 中 ， 跳 过 了 ISO 域 的 配置 ， 因 此 必须 手动 建立 ISO， 建 立 过 程 如 【示例 
11-11】 所 示 。 


【示例 11-11】 
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建立 NFS 共享 之 后 就 可 以 在 管理 平台 上 添加 ISO 域 了 ， 单 击 平台 左 侧 的 系统 ， 然 后 在 右 
侧 依次 选择 存储 、 新 建 域 ， 将 弹出 新 建 域 窗口 ， 如 图 11.31 所 示 。 


新 建 域 


[172.16.45.35/exportiso 
NFS 导出 的 运 物 达 村 。 便 用 的 楼 下 为 : FQON/path 工 六 /path 二 和 


图 11.31 添加 ISO 域 


在 新 建 域 窗口 中 填 入 名 称 ， 选 择 当 前 的 数据 中 心 ， 并 在 域 功能 /存储 类 型 中 选择 
“ISO/NFS”， 最 后 在 导出 路 径 中 输入 NFS 共享 路 径 ， 单 击 “ 确 定 ” 按 钮 完成 添加 。 添 加 完成 
后 ，ISO 域 还 需要 初始 化 ， 因 此 需要 等 待 一 段 时 间 之 后 才 可 用 。 

添加 完 ISO 域 之 后 ， 还 需要 在 ISO 域 中 添加 光盘 映像 才能 使 用 ， 添 加 过 程 需 要 在 oVirt 
管理 平台 上 完成 ， 其 过 程 如 【示例 11-12】 所 示 。 


【示例 11-12】 


完成 上 述 步骤 后 ， 就 可 以 在 管理 平台 的 存储 中 添加 ISO 域 ， 并 在 之 下 的 映像 选项 卡 中 查 
看 到 上 传 的 光盘 映像 。 
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一 也 可 以 使 用 NFS 共享 作为 数据 存储 ， 其 过 程 与 添加 ISO 域 类 似 ， 此 处 不 再 元 述 。 | 


(3) iSCSI 存储 
iSCSI 无 疑 是 应 用 最 广泛 的 存储 解决 方案 之 一 ，oVirt 也 支持 iSCSI 作为 其 数据 存储 。 添 加 
iSCSI 存储 , 首先 选中 左 侧 的 系统 , 然后 在 右 侧 的 存储 选项 中 单 击 新 建 域 , 将 弹出 新 建 域 窗口 ， 
如 图 11.32 所 示 。 
(ws | 
和 Es | 起 
[rodeexamplecom 可 


卫 发 现 目 标 | 

2 | att 世 216.4542 | | 口 用 户 验证 : 

| | CHAP 用 户 CHAP 窗 码 | 
和 | 


目标 名 允 地 址 Da 


日 iqn.2015-06.deviscshtarget sdb 172.16.45.42 3260 中 
Lu 设备 大 小 。 和。 供应 商 四 ra Ld 


必 MeT_o001l0001 14968 1 IET VIRTUAL-DISK SIE-_VIRTUAL.DI 


LUNs > Targets 


11.32 添加 iSCSI 存储 


在 名 称 中 输入 iSCSI 名 称 ， 数 据 中 心 选择 “(none)”， 域 功能 /存储 类 型 选择 “Data/iSCSI”， 
此 时 窗口 将 自动 显示 发 现 目 标 按钮 。 单 击发 现 目标 并 输入 地 址 和 端口 号 ， 然 后 单 击 “发 现 ”， 
窗口 将 自动 显示 发 现 结果 。 此 时 需要 单 击 右 侧 的 “登录 全 部 ”按钮 ， 并 单 击发 现 的 LUN 之 前 
的 “+” 显示 全 部 磁盘 信息 ， 选 中 相应 磁盘 并 单 击 “ 确 定 ” 按 钮 就 可 以 添加 完毕 。 


| iSCSI 存储 通常 是 全 局 性 的 ， 只 有 附加 到 某 个 数据 中 心 上 才能 使 用 。 附 加 时 需要 注意 只 有 
| 当 数据 中 心 的 类 型 为 共享 并 且 拥有 活动 主机 的 情况 下 才能 附加 。 


11.2.7 ”建立 虚拟 机 


在 前 面 几 个 小 节 中 介绍 了 如 何 建立 一 个 基本 的 oVirt 单 节点 平台 ， 在 确认 所 有 资源 都 可 用 
的 情况 下 就 可 以 建立 虚拟 机 了 。 在 左 侧 窗口 中 选择 数据 中 心 , 然后 在 右 侧 的 虚拟 机 选项 卡 中 选 
择 新 建 虚拟 机 ， 将 弹出 “新 建 虚 拟 机 ”窗口 ， 如 图 11.33 所 示 。 
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有 基于 模板 上 3 
控制 台 模板 了 版 本 
EE 操作 系统 [Red hatEntaprsetmuxsx 可 
高 可 用 性 类 型 Ba 
资源 分配 优化 EE | 
引导 页 
随 站 生成 器 A 了 Eess | 
自 定义 属性 a 

证 科 


口 staleless 。 门 以 暂停 模式 启动 。 门 对 折 保 扩 


选择 一 个 WWIC 配置 来 实 例 化 VM 网 络 接口 。 
ncl [Gamemammm 可 | 二 


图 11.33 ”新建 虚拟 机 
在 “新 建 虚拟 机 ”窗口 中 选择 合适 的 操作 系统 ， 并 在 名 称 中 为 操作 系统 命名 ， 然 后 在 nicl 
后 面 为 虚拟 机 添加 网 卡 。 由 于 本 例 中 并 没有 添加 网 络 ， 因 此 可 以 选择 “ovirtmgmt” 使 用 管理 
网 络 。 
完成 常规 设置 后 ， 需 要 单 击 系统 选项 为 虚拟 机 设置 合适 的 内 存 大 小 、CPU 数量 及 时 区 。 
由 于 是 第 一 次 配置 ， 因 此 还 需要 在 引导 选项 中 为 新 系统 添加 安装 光盘 映像 ， 如 图 11.34 所 示 。 


Wa 
[mm 


[None] -| 
图 11.34 ”添加 光盘 引导 
在 引导 序列 中 色 选 附加 CD 选项 , 并 在 之 后 的 选择 框 中 选择 合适 的 光盘 映像 , 完成 所 有 步 
又 之 后 ， 即 可 单 击 “ 确 定 ” 按 钮 完成 创建 。 接 下 来 会 弹出 引导 窗口 ， 要 求 用 户 为 虚拟 机 添加 虚 
拟 磁盘 ， 如 图 11.35 所 示 。 


评 加 虚拟 磁盘 


别 各 Emos55 DRkL 辟 击 PS 后 再 理 

招 过 关 可 可 引导 的 

接口 [aa de 有 
站 Ri 的 

分 配 策略 [Trin Provsion 习 

存储 域 nede_local 区 闲 429 GB /总 计 452 习 

Disk Profile ry 


11.35 ”添加 虚拟 磁盘 
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在 添加 虚拟 磁盘 窗口 中 , 直接 输入 磁盘 大 小 并 选择 相应 的 存储 域 即 可 完成 添加 , 也 可 勾 选 
“外 部 〈 直 接 LUN)” 将 iSCSI 存储 作为 虚拟 磁盘 使 用 。 

添加 完 虚 拟 磁 盘 后 ， 虚 拟 机 就 已 经 添加 完成 了 。 可 以 选择 虚拟 机 ， 然 后 单 击 鼠标 右键 ， 在 
弹出 的 菜单 中 选择 “运行 ” 即 可 打开 虚拟 机 电源 。 打 开 虚 拟 机 电源 后 ， 再 次 单 击 鼠标 右键 ， 
在 弹出 的 菜单 中 选择 “控制 台 ”， 即 可 打开 虚拟 机 的 控制 台 ， 如 图 11.36 所 示 。 


centos5 .5.1 - 按 SHIFT+F12 释放 光标 - Remote Viewer EE 
文件 《F》 可 看 (V) 发 送 可 键 (5》 帮助 (H》 


宁 centos 


11.36 ”虚拟 机 控制 台 


关于 虚拟 机 控制 台 程 序 的 安装 说 明 ， 可 参考 oVirt 主 界面 链接 “控制 台 客 户 资源 ”中 的 相 
关内 容 ， 此 处 不 再 资 述 。 


11.3 4 造 


当今 的 互联 网 以 云 计算 和 虚拟 化 技术 为 主体 ，CentOS 7.5 在 发 布 之 初 就 已 经 吸收 整合 了 
RHEL 7 的 虚拟 化 技术 。 本 章 以 KVM 虚拟 化 为 起 点 ， 介 绍 了 CentOS 7.5 中 的 KVM 虚拟 化 解 
决 方案 ， 及 当前 最 新 的 oVirt 管理 平台 。 虽 然 在 大 型 企业 中 ， 这 些 平台 应 用 较 少 ， 但 在 经 费 紧 
张 的 小 型 企业 中 却 应 用 非常 广泛 。 
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GlusterFS 是 近年 来 兴起 的 一 个 开源 分 布 式 文件 系统 ， 其 在 开源 社区 活跃 度 很 高 ， 互 联网 
通常 称 其 与 MooseFS、CEPH、Lustre 为 四 大 开源 分 布 式 文件 系统 。 国 外 有 众多 互联 网 从 业者 
在 研究 、 测 试 并 使 用 GlusterFS， 而 国内 目前 正 处 于 起 步 阶段 ， 本 章 将 简要 介绍 GlusterFS 的 部 
署 与 应 用 。 

本 章 主 要 涉及 的 内 容 有 : 

ee GlusterFS 存储 结构 简介 

e@ GlusterFS 部 署 与 应 用 


1 2 .| GlusterFS 概述 


GlusterFS 最 早 由 Gluster 公司 开发 ， 其 目标 是 开发 出 一 个 能 为 客户 提供 全 局 命名 空间 、 分 
布 式 前 端 及 高 达 数 百 PB〈 拍 字 节 ) 级 别 扩展 性 的 开源 分 布 式 文件 系统 。 相 比 其 他 分 布 式 文件 
系统 ，GlusterFS 具有 高 扩展 性 、 高 可 用 性 、 高 性 能 、 可 横向 扩展 等 特点 ， 并 且 其 没有 元 数据 
服务 器 的 设计 ， 让 整个 服务 没有 单 点 故障 的 隐患 。 正 是 由 于 GlusterFS 拥有 众多 优秀 的 特点 ， 
红 帽 公司 于 2011 年 收购 Gluster 公司 ， 并 将 GlusterFS 作为 其 大 数据 解决 方案 的 一 部 分 。 本 节 
将 简单 介绍 分 布 式 文件 系统 及 GlusterFS。 


12.1.1 分布 式 文件 系统 


分 布 式 文件 系统 (Distributed File System) 是 指 文件 系统 管理 的 物理 存储 资源 并 不 直接 与 
本 地 节点 相连 〈 非 直 联 存储 )， 而 是 分 布 于 计算 机 网 络 中 的 一 个 或 多 个 节点 计算 机 上 。 目 前 意 
义 上 的 分 布 式 文件 系统 大 多 都 是 由 多 个 节点 计算 机 构成 的 ， 结 构 上 是 典型 的 客户 机 /服务 器 模 
式 。 流行 的 模式 是 当 客 户 机 需要 存储 数据 时 , 服务 器 指引 其 将 数据 分 散 地 存储 到 多 个 存储 节点 
上 ， 以 提供 更 快 的 速度 、 更 大 的 容量 及 更 好 宛 余 特性 。 

目前 流行 的 分 布 式 文件 系统 有 许多 ， 如 MooseFS、OpenAFS、GoogleFS 等 ， 下 面 将 简要 
介绍 一 些 常见 的 分 布 式 文件 系统 。 


第 12 章 GlusterFS 存储 


1. MooseFS 


MooseFS 主要 由 管理 服务 器 (master)、 元 日 志 服 务 器 (Metalogger)、 数 据 存储 服务 器 
(chunkservers) 构成 ， 管 理 服务 器 的 主要 作用 是 管理 数据 存储 服务 器 ， 文 件 读 写 控 制 、 空 间 
管理 及 节点 间 的 数据 备份 等 ; 元 日 志 服 务 器 主要 用 来 备份 管理 服务 器 的 变化 日 志 , 以 便 管 理 服 
务 器 出 问题 时 能 恢复 工作 ;数据 存储 服务 器 的 主要 工作 是 听从 管理 服务 器 调度 ,提供 存储 空间 ， 
接收 或 传输 客户 数据 等 。MooseFS 的 读 过 程 如 图 12.1 所 示 。 


3 Sendmethe det 


ps OOO 


CLIENTS es i CHUNK SERVERS 


MASTER SERVER 
图 12.1 MooseFS 读数 据 过 程 


如 图 12.1 中 的 读 取 数据 过 程 , 客户 首先 向 master 询问 数据 存放 在 哪些 数据 存储 服务 器 上 ， 
然后 向 数据 存储 服务 器 请 求 并 获得 数据 。 其 写 过 程 与 读 过 程 正好 相反 ， 如 图 12.2 所 示 。 


4 Wmethecuts 


CLIENTS Do eo CHUNK SERVERS 
MASTER SERVER 


12.2 ”MooseFS 写 数据 过 程 


写 数 据 时 ， 客 户 先 向 master 发 出 请 求 ，master 查询 剩余 空间 后 将 存储 位 置 返回 给 客户 ， 
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由 客户 将 数据 分 散 地 存放 在 数据 存储 服务 器 上 ， 最 后 向 master 发 出 写 入 结束 信号 。 
MooseFS 结构 简单 ， 最 适合 初学 者 理解 分 布 式 文件 系统 的 工作 过 程 ， 但 也 存在 较 大 问题 ， 
MooseFS 具有 单 点 故障 隐患 ， 一 旦 master 无 法 工作 ， 整 个 分 布 式 文件 系统 都 将 停止 工作 。 


2. Lustre 


Lustre 是 一 个 比较 典型 的 高 性 能 面向 对 象 的 文件 系统 ， 其 结构 相对 比较 复杂 ， 如 图 12.3 
所 示 。 


Management Metadata Object Storage Object Storage 
Servers (MGSs) Servers (MDSs) Servers (OSSs) Targets (OSTs) 


@” 和 全” 


MeS2 Mbs1 Mgs2 Luewe 
(stlndoy) (alive (stindby) Routers Commodity Storage 
有 本 


Enterprise-Class Storage 


=InfiniBand network C rer capably Arrays and SAN Fabric 


一 一 = Ethemet network 
图 12.3 Lustre 结构 


Lustre 由 元 数据 服务 器 (Metadata Servers,MDSs)、 对 象 存 储 服务 器 (Object Storage Servers， 
OSSs) 和 管理 服务 器 (Management Servers，MGSs) 组 成 。 与 MooseFS 类 似 ， 当 客户 端 读 取 
数据 时 ， 主 要 的 操作 集中 在 MDSs 和 OSSs 间 ; 写 入 数据 时 就 需要 MGSs、MDSs 及 OSSs 共 
同 参与 操作 。 

Lustre 主要 面 对 的 是 海量 级 的 数据 存储 ， 支 持 多 达 10000 个 节点 、PB 级 的 数据 存储 、 
100Gbit/s 以 上 传输 速度 。 在 气象 、 石 油 等 领域 应 用 十 分 广泛 ， 是 目前 比较 成 熟 的 解决 方案 之 


3. Ceph 


Ceph 的 目标 是 建立 一 个 容量 可 扩展 至 PB 级 、 高 可 靠 性 ， 并 且 支 持 多 种 工作 负载 的 高 性 
能 分 布 式 文件 系统 。 其 结构 如 图 12.4 所 示 。 

Ceph 主要 由 元 数据 服务 器 (MDSs)、 对 象 存储 集群 (OSDs) 和 集群 监视 器 组 成 ， 元 数据 
服务 器 主要 用 来 缓存 和 同步 分 布 式 元 数据 ; 对 象 存储 集群 用 来 存储 数据 和 元 数据 ; 监视 器 则 用 
来 监视 整个 集群 。Ceph 在 文件 一 致 性 、 容 错 性 、 高 性 能 、 扩 展 性 等 方面 都 有 显著 的 优势 ， 特 
别 适 合 于 云 计算 。 
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CephFS Kernel Object | CephFS FUSE | 
Ceph FS Library (libcephfs) | 

Ceph Storage Cluster Protocol (librados) | 

osDs | MDss | Monitors | 


12.4 ”Ceph 结构 


本 小 节 简 单 介绍 了 最 具 代表 性 的 几 个 分 布 式 文件 系统 ,但 目前 成 熟 的 分 布 式 文件 系统 还 有 
许多 ， 例 如 GridFS 、mogileFS、TFS、FastDFS 等 。 读 者 可 自行 参考 相关 资料 了 解 ， 此 处 不 
再 袭 述 。 


12.1.2 ”GlusterFS 概述 


GlusterFS 与 其 他 分 布 式 文件 系统 相 比 ， 在 扩展 性 、 高 性 能 、 维 护 性 等 方面 都 具有 独特 优 
势 。 本 小 节 将 简要 介绍 GlusterFS 存储 的 特点 。 


1. 无 元 数据 设计 


元 数据 是 用 来 描述 一 个 文件 或 给 定 区 块 在 分 布 式 文件 系统 中 所 在 的 位 置 , 简 而 言 之 就 是 某 
个 文件 或 某 个 区 块 存储 的 位 置 。 传 统 分 布 式 文件 系统 大 都 会 设置 元 数据 服务 器 或 功能 相近 的 管 
理 服务 器 , 主要 作用 就 是 用 来 管理 文件 与 数据 区 块 之 间 的 存储 位 置 关系 。 相 较 其 他 分 布 式 文件 
系统 而 言 ，GlusterFS 并 没有 集中 或 分 布 式 的 元 数据 的 概念 ， 取 而 代 之 的 是 弹性 哈 希 算法 。 集 
群 中 的 任何 服务 器 、 客户 端 都 可 利用 哈 希 算法 、 路 径 及 文件 名 进行 计算 , 可 以 对 数据 进行 定位 ， 
并 执行 读 写 访问 操作 。 

这 种 设计 带 来 的 好 处 是 极 大 地 提高 了 扩展 性 , 同时 也 提高 了 系统 的 性 能 和 可 靠 性 ; 另 一 显 
著 的 特点 是 如 果 给 定 确定 的 文件 名 ,查找 文件 位 置 会 非常 快 。 但 如 果 需 要 列 出 文件 或 目录 , 性 
能 会 大 幅 下 降 ， 因 为 列 出 文件 或 目录 时 ， 需 要 查询 所 在 节点 并 对 各 节点 中 的 信息 进行 聚合 。 此 
时 有 元 数据 服务 的 分 布 式 文件 系统 的 查询 效率 反而 会 高 许多 。 


2. 服务 器 间 的 部 署 


在 之 前 的 版 本 中 服务 器 间 的 关系 是 对 等 的 , 也 就 是 说 每 个 节点 服务 器 都 掌握 了 集群 的 配置 
信息 。 这 样 做 的 好 处 是 每 个 节点 都 拥有 节点 的 配置 信息 ,高 度 自 治 ， 所 有 信息 都 可 以 在 本 地 查 
询 。 每 个 节点 的 信息 更 新 都 会 向 其 他 节点 通告 ， 保 证 节点 间 信息 的 一 致 性 。 但 如 果 集 群 规 模 较 
大 , 节点 众多 时 ,信息 同步 的 效率 就 会 下 降 ， 节 点 间 信息 的 非 一 致 性 概率 就 会 大 大 提高 。 因 此 
GlusterFS 未 来 的 版 本 有 向 集中 式 管理 变化 的 趋势 。 

GlusterFS 还 支持 多 种 集群 模式 ， 组 成 诸如 磁盘 阵列 状 的 结构 ， 让 用 户 在 数据 可 靠 性 、 元 
余 程度 等 方面 自行 取舍。 
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3. 客户 端 访 问 
当 客 户 端 访问 GlusterFS 存储 时 ， 其 流程 如 图 12.5 所 示 。 


图 12.5 客户 端 访问 流程 


首先 程序 通过 访问 挂 载 点 的 形式 读 写 数据 ,对 于 用 户 和 程序 而 言 ,集群 文件 系统 是 透明 的 ， 

用 户 和 程序 根本 感觉 不 到 文件 系统 是 本 地 还 是 在 远 端 服 务 器 上 。 读 写 操作 将 会 被 交 给 VFS 

(Virtual File System， 虚 拟 文件 系统 ) 来 处 理 ，VFS 会 将 请 求 交 给 FUSE 内 核 模 块 ， 而 FUSE 

又 会 通过 设备 /dev/fuse 将 数据 交 给 GlusterFS Client。 最 后 经 过 GlusterFS Client 的 计算 ， 并 最 
终 经 过 网 络 将 请 求 或 数据 发 送 到 GlusterFS Server 上 。 


4. 可 管理 性 


GlusterFS 在 提供 了 一 套 基于 Web GUI 的 基础 上 ,还 提供 了 一 套 基于 分 布 式 体系 协同 合作 
的 命令 行 工 具 ， 二 者 相 结合 就 可 以 完成 GlusterFS 的 管理 工作 。 由 于 整套 系统 都 是 基于 Linux 
系统 ， 在 懂得 Linux 管理 知识 的 基础 之 上 ， 再 加 上 2~3 小 时 的 学 习 就 可 以 完成 GlusterFS 的 日 
党 管理 工作 。 这 对 一 套 分 布 式 文件 系统 而 言 ，GlusterFS 的 管理 工作 无 疑 是 非常 简便 的 。 

作为 一 款 获 得 红 帽 青睐 的 开源 分 布 式 文件 系统 ，GlusterFS 无 疑 有 许多 值得 关注 的 地 方 。 本 小 节 
将 介绍 其 中 一 部 分 ， 其 他 方面 的 特点 还 有 许多 ， 此 处 不 再 袭 述 ， 读 者 可 自行 参阅 相关 文档 了 解 。 


12.1.3 ”GlusterFS 集群 的 模式 


GlusterFS 集群 的 模式 是 指数 据 在 集群 中 的 存放 结构 , 类 似 于 磁盘 阵列 中 的 级 别 。GlusterFS 
支持 多 种 集群 模式 ， 本 小 节 将 简要 介绍 几 种 常见 的 模式 。 


1. 分 布 式 GlusterFS 卷 
分 布 式 GlusterFS 卷 (Distributed Glusterfs Volume) 是 一 种 比较 常见 的 松散 式 结构 ， 
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如 图 12.6 所 示 。 


€ Distributed Volume 


server1:/exp1 server2:/exp2 


Es 


图 12.6 ”分布 式 GlusterFS 卷 


分 布 式 GlusterFS 卷 的 结构 相对 比较 简单 ， 存 放 文件 时 并 没有 特别 的 规则 ， 仅 仅 是 将 文件 
存放 到 组 成 分 布 式 卷 的 所 有 服务 器 上 。 创建 分 布 式 卷 时 ， 如果 没 有 特别 的 指定 , 将 默认 使 用 分 
布 式 GlusterFS。 这 种 卷 的 好 处 是 非常 便于 扩展 ， 且 组 成 卷 的 服务 器 容量 可 以 不 必 相 同 ， 缺 点 
是 没有 任何 元 余 功 能 ， 任 何 一 个 节点 失败 都 会 导致 数 据 丢 失 。 分 布 式 GlusterFS 卷 需 要 在 底层 
硬件 上 做 数据 元 余 ， 例 如 磁盘 阵列 RAID 等 。 


2. 复制 GlusterFS 卷 


复制 GlusterFS 卷 (Replicated Glusterfs Volume) 与 RAID 1 类 似 ， 所 有 组 成 卷 的 服务 器 中 
存放 的 内 容 都 完成 相同 ， 其 结构 如 图 12.7 所 示 。 


servert:/exp1 server2:/exp2 


图 12.7 复制 GlusterFS 卷 


复制 GlusterFS 卷 的 原理 是 将 文件 复制 到 所 有 组 成 分 布 式 卷 的 服务 器 上 。 在 创建 分 布 式 卷 
时 需要 指定 复制 的 副本 数量 ， 通 常 是 2 或 者 3， 但 副本 数量 一 定 要 小 于 或 等 于 组 成 卷 的 服务 器 
数量 。 由 于 复制 GlusterFS 卷 会 在 不 同 的 服务 器 上 保存 数据 的 副本 , 当 其 中 一 台 服 务 器 失效 后 ， 
可 以 从 另 一 台 服 务 器 读 取 数据 ， 因 此 复制 GlusterFS 卷 提高 了 数据 可 靠 性 的 同时 ， 还 提供 了 数 
据 元 余 功能 。 


3. 分 布 式 复制 GlusterFS 卷 
分 布 式 复制 GlusterFS 卷 (Distributed Replicated Glusterfs Volume) 结合 了 分 布 式 和 复制 
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Gluster 卷 的 特点 ， 其 结构 如 图 12.8 所 示 。 


fF Distributed Volume 


Replicated Replicated 
Volume 0 Volume 1 


server3 server4 


图 12.8 分布 式 复制 GlusterFS 卷 
分 布 式 复制 GlusterFS 卷 的 结构 看 起 来 类 似 RAID 10， 其 实 不 同 ，RAID 10 的 实质 是 条 带 
化 ， 但 分 布 式 复制 GlusterFS 卷 则 没有 。 这 种 卷 实 际 上 是 针对 数据 元 余 和 可 靠 性 要 求 都 非常 高 
的 环境 而 开发 的 。 
4. 条 带 化 GlusterFS 卷 


条 带 化 GlusterFS 卷 (Striped Glusterfs Volume) 是 专门 针对 大 文件 、 多 客户 端 而 设置 的 ， 
如 图 12.9 所 示 。 


server2 


BD 
er 


€ Striped Volume 


Server1:/exp1 Server2:/exp2 


we 1 
A DA 


图 12.9 条 带 化 GlusterFS 卷 
当 GlusterFS 被 用 来 存储 一 些 较 大 的 文件 时 ， 如 果 仅 保存 在 某 个 服务 器 上 ， 当 客户 端 较 多 
时 ， 性 能 就 会 急剧 下 降 。 此 时 使 用 条 带 化 的 GlusterFS 就 可 以 解决 这 个 问题 ， 条 带 化 Gluster 
允许 将 体型 较 大 的 文件 分 拆 并 存放 到 多 台 服 务 器 上 , 当 客 户 端 进行 访问 时 就 能 分 散 压 力 , 效果 
如 同 负 载 均衡 。 条 带 化 GlusterFS 卷 的 缺点 是 不 能 提供 数据 元 余 功能 。 
5. 分 布 式 条 带 化 GlusterFS 卷 


分 布 式 条 带 化 GlusterFS 卷 (Distributed Striped Glusterfs Volume) 被 用 来 处 理 体型 十 分 
大 的 文件 ， 其 结构 如 图 12.10 所 示 。 


I 
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Distributed Volume 
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Volume 0 
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图 12.10 ”分布 式 条 带 化 GlusterFS 卷 
当 单 个 文件 的 体型 十 分 巨大 、 客 户 端 数量 更 多 时 ， 条 带 化 GlusterFS 卷 已 无 法 满足 需要 ， 


此 时 将 分 布 式 与 条 带 化 结合 起 来 是 一 个 比较 好 的 选择 。 需 要 注意 的 是 , 无 论 是 条 带 化 GlusterFS 
还 是 分 布 式 条 带 化 GlusterFS， 其 性 能 都 与 服务 器 数量 有 关 。 


各 本 书 并 没有 涉及 大 文件 方面 的 内 容 , 读 者 可 阅读 其 官方 网 站 的 相关 说 明了 解 更 多 关于 条 带 
| 化 GlusterFS 卷 和 分 布 式 条 带 化 GlusterFS 卷 ， 此 处 不 再 教 述 。 


2 .2 GlusterFS 部 署 和 应 用 


GlusterFS 有 扩展 性 强 、 高 可 靠 性 、 高 性 能 等 诸多 优点 ， 同 时 又 有 红 帽 公司 的 大 力 支持 ， 
使 得 当下 许多 Linux 发 行 版 和 软件 都 已 经 包含 并 支持 GlusterFS。 本 节 将 简要 介绍 GlusterFS 在 
CentOS 7.5 中 的 部 署 和 应 用 。 


12.2.1 GlusterFS 安装 


在 开始 GlusterFS 安装 之 前 ， 建 议 将 系统 升级 至 最 新 ， 以 减少 软件 Bug、 提 升 软件 的 兼容 
性 。 由 于 GlusterFS 需要 使 用 网 络 ， 因 此 还 必须 事先 根据 环境 设置 防火 墙 规 则 、SELinux 规则 
等 ， 本 示例 虽 不 涉及 这 些 设 置 ， 但 在 生产 环境 中 应 该 特别 注意 。 

在 本 例 中 将 采用 3 台 服 务 器 作为 示例 ， 演 示 如 何在 CentOS 7.5 中 安装 GlusterFS。3 台 服 
务 器 的 信息 如 表 12.1 所 示 。 


表 12.1 示例 服务 器 信息 
IP 地 址 域名 


172.164543 
172.164544 


server3 172.16.45.45 server3.example.com 
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由 于 此 处 仅 为 演示 ， 因 此 硬件 等 方面 几乎 没有 特殊 要 求 ， 但 在 生产 环境 中 使 用 时 ， 应 该 
尽量 选用 性 能 相近 的 硬件 配置 ， 以 避免 个 别 服务 器 性 能 较 差 引发 的 短 板 效应 。 


1. 环境 设置 


由 于 GlusterFS 并 没有 服务 器 与 元 数据 等 概念 ， 因 此 所 有 服务 器 的 设置 都 相同 。 此 处 仅 以 
一 台 服 务 器 的 设置 作为 示例 ， 其 他 服务 器 仅 进行 了 P 地 址 、 域 名 方面 的 修改 即 可 。 

首先 需要 做 域名 方面 的 设置 ， 使 用 DNS 作为 解析 手段 有 一 定 的 延 时 ， 这 在 集群 环境 中 可 
能 会 带 来 一 些 问题 ， 因 此 推荐 使 用 hosts 文件 解析 。 服 务 器 名 设置 及 hosts 文件 解析 如 【示例 
12-1】 所 示 。 


【示例 12-1】 


2. 时 钟 同步 


另 一 个 问题 是 集群 内 部 的 时 间 非 常 重要 ,如 果 服 务 器 间 的 时 间 有 误差 , 可 能 会 给 集群 间 的 
通信 带 来 麻烦 ， 进 而 导致 集群 失效 。 如 果 服务 器 能 连接 到 互联 网 或 内 部 的 授时 服务 器 , 可 以 使 
用 网 络 同步 时 钟 的 方法 。 网 络 同步 时 钟 使 用 命令 ntpdate， 如 【示例 12-2】 所 示 。 


【示例 12-2】 


手动 使 用 命令 同步 比较 麻烦 ， 可 以 使 用 cron 自动 任务 调度 的 方法 。 自 动 任务 调度 时 ， 执 
行 命令 “crontab -e”， 会 打开 Vi 编辑 器 ， 在 其 中 输入 【示例 12-3】 所 示 的 内 容 ， 保 存 退 出 即 可 。 


【示例 12-3】 


3. 建立 yum 仓库 
在 GlusterFS 的 官方 网 站 (http:/www.glusterorg/) 上， 介绍 了 如 何 安装 GlusterFS 的 详尽 
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过 程 ， 读 者 可 以 参考 。 由 于 GlusterFS 提供 了 yum 源 ， 因 此 可 以 在 CentOS 7.5 中 使 用 yum 的 
方式 安装 ， 本 例 将 采用 这 种 方法 安装 ， 安 装 过 程 如 【示例 12-4】 所 示 。 


【示例 12-4】 


4. 安装 GlusterFS 


完成 之 前 的 环境 设置 、 设 置 源 等 步骤 后 , 就 可 以 开始 安装 GlusterFS 了 , 其 安装 过 程 如 【 示 
例 12-5】 所 示 。 


【示例 12-5】 


CentOS 7.5 


到 此 ，GlusterFS 的 安装 就 已 经 完成 了 ， 需 要 说 明 的 是 安装 过 程 需要 在 每 台 服 务 器 上 都 进 
行 一 次 。 
12.2.2 ”配置 服务 和 集群 


安装 完成 GlusterFS 之 后 ， 还 不 能 立即 使 用 ， 需 要 对 服务 进行 配置 。 本 小 节 将 简单 介绍 如 
何 配置 GlusterFS。 
首先 需要 在 3 台 服 务 器 上 分 别 启动 相应 的 服务 ， 如 【示例 12-6】 所 示 。 


【示例 12-6】 


在 两 台 服 务 器 上 启动 服务 后 ， 就 可 以 开始 配置 集群 了 。 在 配置 集群 之 前 ， 最 好 使 用 命令 
ping 各 服务 器 的 主机 名 ， 以 确保 域名 与 IP 都 已 正确 设置 。 配置 集群 过 程 如 【示例 12-7】 所 示 。 


【示例 12-7】 
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Statei Peer in Cluster (Connected) 
从 上 面 的 示例 输出 中 ， 可 以 看 到 服务 和 集群 都 已 经 配置 完成 。 


12.2.3 ”添加 磁盘 到 集群 


接 下 来 就 需要 为 集群 添加 磁盘 了 ， 需 要 注意 的 是 各 集群 节点 上 的 磁盘 容量 应 该 尽量 相同 。 
添加 磁盘 到 集群 首先 需要 对 磁盘 分 区 、 创 建文 件 系统 ， 如 【示例 12-8】 所 示 。 


【示例 12-8】 
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以 上 步 又 需要 在 3 台 服 务 器 上 进行 操作 ,磁盘 可 以 不 同 , 但 建议 分 区 方案 挂 载 点 名 称 等 都 
应 该 相同 。 


创建 完 磁 盘 之 后 ， 就 可 以 为 集群 添加 磁盘 了 ， 添 加 过 程 如 【示例 12-9】 所 示 。 
【示例 12-9】 
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12.2.4 ”添加 不 同 模式 的 GlusterFS 磁盘 


为 了 应 用 于 不 同 的 环境 ,GlusterFS 定义 了 多 种 模式 ,在 12.1.3 小 节 中 简要 介绍 了 GlusterFS 
的 各 种 模式 及 应 用 环境 。 在 本 小 节 中 将 简单 介绍 如 何 创建 各 种 模式 的 GlusterFS 卷 。 


(1) 分 布 式 GlusterFS 卷 

创建 GlusterFS 卷 时 , 如 果 不 加 任何 参数 , 则 默认 创建 分 布 式 GlusterFS 卷 , 如 【示例 12-9】 
所 示 。 

(2) 复制 GlusterFS 卷 

创建 复制 GlusterFS 卷 时 ， 需 要 指定 一 个 replica 参数 ， 即 指定 每 个 文件 在 GlusterFS 卷 中 
复制 的 份 数 。 由 于 此 数值 将 决定 文件 在 不 同 服务 器 中 存放 的 份 数 , 因此 不 能 大 于 组 成 卷 的 服务 
器 数量 。 创 建 复制 GlusterFS 卷 如 【示例 12-10】 所 示 。 


【示例 12-10】 


由 于 指定 的 份 数 为 3 且 服务 器 数量 为 3， 因 此 可 以 预见 3 台 服 务 器 中 存放 的 文件 是 相 
同 的 。 
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(3) 分 布 式 复制 GlusterFS 卷 

创建 分 布 式 复制 GlusterFS 卷 同样 也 需要 指定 replica 参数 ， 由 12.1.3 小 节 中 可 以 看 出 ， 当 
replica 参数 为 2 时 ， 需 要 的 服务 器 数量 至 少 为 4 台 。 当 replica 参数 增加 时 ， 服 务 器 数量 也 需 
要 相应 地 增加 。 创 建 命令 如 【示例 12-11】 所 示 。 


【示例 12-11】 


(4) 条 带 化 GlusterFS 卷 

创建 条 带 化 GlusterFS 卷 时 ， 需 要 指定 条 带 化 参数 stripe， 与 磁盘 阵列 中 的 条 带 化 不 同 ， 
此 处 指定 的 是 将 文件 分 成 几 份 存放 ， 而 不 是 每 份 大 小 。 创 建 条 带 化 GlusterFS 卷 至 少 需要 2 台 
服务 器 ， 创 建 命令 如 【示例 12-12】 所 示 。 


【示例 12-12】 


(5) 分 布 式 条 带 化 GlusterFS 卷 
分 布 式 条 带 化 GlusterFS 卷 同 分 布 式 复制 GlusterFS 卷 类 似 ，stripe 值 为 2 时 ， 至 少 需要 4 
台 服 务 器 组 成 。 创 建 命令 如 【示例 12-13】 所 示 。 


【示例 12-13】 


12.2.5 在 Linux 中 使 用 GlusterFS 存储 


在 Linux 系统 中 使 用 GlusterFS 存储 时 ， 需 要 安装 GlusterFS 相关 软件 包 。CentOS 7.5 和 
RHEL 7 之 前 的 版 本 可 以 直接 安装 ，CentOS 7.5 和 之 前 的 版 本 还 可 以 通过 官方 源 安装 ， 其 他 
Linux 系统 可 通过 编译 安装 的 方式 安装 相关 软件 包 。 具 体 安装 方法 可 参考 GlusterFS 的 官方 网 
站 。 


1. 安装 软件 包 
此 处 采用 CentOS 7.5 安装 作为 示例 ， 其 安装 过 程 如 【示例 12-14】 所 示 。 
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【示例 12-14】 


2. 挂 载 远程 存储 
安装 完 相关 的 软件 包 之 后 ， 就 可 以 挂 载 远 程 存储 到 本 地 了 ， 挂 载 过 程 如 【示例 12-15】 所 示 。 
【示例 12-15】 


3. 将 挂 载 信息 写 入 文件 


【示例 12-15】 所 示 的 挂 载 将 在 系统 重新 启动 后 消失 ， 如 需 让 挂 载 继续 生效 ， 可 将 挂 载 信 
息 写 入 文件 /etc/fstab: 


337 


CentOS 7.5 


由 于 挂 载 时 使 用 的 是 域名 , 因此 需要 在 server4 的 /etc/hosts 中 写 入 其 他 GlusterFS 服务 器 的 
相关 信息 ， 或 者 使 用 能 解析 的 DNS。 


12.3 4 造 


GlusterFS 拥有 很 高 的 扩展 性 的 同时 ， 还 兼 具 高 可 靠 性 、 高 性 能 等 优势 ， 是 中 小 型 企业 在 
分 布 式 存储 方面 的 又 一 选择 。 本 章 介 绍 了 分 布 式 存储 及 其 特点 、GlusterFS 及 特点 ， 并 着 重 介 
绍 了 GlusterFS 的 部 署 和 应 用 。 
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第 13 章 
配置 OpenStack 私 有 云 


OpenStack 既是 一 个 社区 ， 也 是 一 个 项 目 和 一 个 开源 软件 ， 提 供 了 一 个 部 署 云 的 操作 平台 
或 工具 集 。 其 宗旨 在 于 帮助 组 织 和 运行 为 虚拟 计算 或 存储 服务 的 云 ， 既 为 公有 云 、 私 有 云 ， 也 
为 大 云 、 小 云 提供 可 扩展 的 、 灵 活 的 云 计算 。 
本 章 主要 涉及 的 知识 点 有 : 
OpenStack 概况 
OpenStack 系统 架构 
OpenStack 主要 部 署 工具 
通过 RDO 部 署 OpenStack 
管理 OpenStack 


Openstack 概况 


OpenStack 是 一 个 免费 的 开放 源 代码 的 云 计算 平台 ， 用 户 可 以 将 其 部 署 成 为 一 个 基础 设施 
即 服务 〈Iaas) 的 解决 方案 。OpenStack 不 是 一 个 单一 的 项 目 ， 而 是 由 多 个 相关 的 项 目 组 成 ， 
包括 Nova、Swift、Glance、Keystone 以 及 Horizon 等 。 这 些 项 目 分 别 实现 不 同 的 功能 ， 例 如 
弹性 计算 服务 、 对 象 存储 服务 、 虚 拟 机 磁盘 镜像 服务 、 安 全 统一 认证 服务 以 及 管理 平台 等 。 
OpenStack 以 Apache 许可 授权 。 

OpenStack 最 早 开 始 于 2010 年 , 是 美国 国家 航空 航天 局 和 Rackspace 合作 研发 的 云端 运算 
软件 项 目 。 目 前 ，OpenStack 由 OpenStack 基金 会 管理 。 该 基金 会 是 一 个 非 营利 组 织 ， 创 立 于 
2012 年 。 现 在 已 经 有 超过 200 家 公司 参与 了 该 项 目 ， 包 括 Arista Networks、AT&T、AMD、 
Cisco、Dell、EMC、HP、IBM、Intel、NEC、NetApp 以 及 Red Hat 等 大 型 公司 。 

OpenStack 发 展 非常 迅速 ， 已 经 发 布 了 11 个 版 本 ， 每 个 版 本 都 有 代号 ， 分 别 为 Austin、 
Bexar、Cactus、Diablo、Essex、Folsom、Grizzly、Havana、Icehouse、Juno 以 及 最 新 的 Kilo 。 

除了 OpenStack 之 外 ,还 有 其 他 的 一 些 云 计 算 平 台 , 例 如 Eucalyptus、AbiCloud、OpenNebula 
等 ,这些 云 计 算 平 台 都 有 自己 的 特点 ， 关 于 它们 之 间 具 体 的 区 别 ， 请 读者 参考 相关 书籍 ， 此 处 
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不 再 详细 说 明 。 


] 3 .2 Openstack 系统 架构 


由 于 OpenStack 由 多 个 组 件 组 成 ， 因 此 其 系统 架构 相对 比较 复杂 。 但 是 ， 只 有 了 解 
OpenStack 的 系统 架构 ， 才 能 够 成 功 地 部 署 和 管理 OpenStack。 本 节 将 对 OpenStack 的 整体 系 
统 架构 进行 介绍 。 

13.2.1 OpenStack 体系 架构 


OpenStack 由 多 个 服务 模块 构成 ， 如 表 13.1~ 表 13.4 所 示 。 
表 13.1 基本 模块 


项 目 名 称 说 阴 
| Horizon | 提供 了 基于 Web 的 控制 台 ， 以 此 来 展示 OpenStack 的 功能 


Nova OpenStack 云 计算 架 构 的 基础 项 目 ， 是 基础 架构 即 服务 〈IaaS) 中 的 核心 模块 。 它 负责 
管理 在 多 种 Hypervisor 上 的 虚拟 机 的 生命 周期 


提供 云 计算 环境 下 的 虚拟 网 络 功能 


表 13.2 存储 模块 


项 目 名 称 说 明 


提供 了 弹性 可 伸缩 、 高 可 用 的 分 布 式 对 象 存储 服务 ， 适 合 存储 大 规模 非 结构 
化 数据 


提供 块 存储 服务 


表 13.3 ”共享 服务 


名 称 说 明 
为 其 他 的 模块 提供 认证 和 授权 
存储 和 访问 虚拟 机 磁盘 镜像 文件 


Ceilometer 为 计 费 和 监控 以 及 其 他 服务 提供 数据 支撑 


表 13.4 其 他 服务 


Heat 实现 弹性 扩展 ， 自 动 部 署 


Trove | 提供 数据 库 即 服务 功能 
图 13.1 描述 了 OpenStack 中 各 子 项 目 及 其 功能 之 间 的 关系 。 
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Nova 


Cinder 
身份 验证 
控制 台 ee Keystone 


Ceilometer 


自动 部 署 Heat 


图 13.1 各 子 项 目 与 功能 
图 13.2 描述 了 OpenStack 各 功能 模块 之 间 的 关系 。 


13.2 ”OpenStack 架构 


13.2.2 OpenStack 部 署 方式 


针对 不 同 的 计算 、 网 络 和 存储 环境 , 用 户 可 以 非常 灵活 地 配置 OpenStack 来 满足 自己 的 需 
求 。 图 13.3 显示 了 含有 3 个 节点 的 OpenStack 的 部 署 方案 。 
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计算 节点 
(计算 节点 1) 
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Ne 2 


AN 
图 13.3 含有 3 个 节点 的 OpenStack 部 署 方案 
在 图 13.3 中 ， 使 用 Neutron 作为 虚拟 网 络 的 管理 模块 ， 包 含 控制 节点 、 网 络 节点 和 计算 


节点 ， 这 3 个 节点 的 功能 分 别 描述 如 下 : 


1. 控制 节点 
基本 控制 节点 运行 身份 认证 服务 、 镜 像 文 件 服务 、 计 算 节点 和 网 络 接口 的 管理 服务 、 虚 拟 


网 络 插件 以 及 控制 台 等 。 另外， 还 运行 一 些 基础 服务 ,例如 OpenStack 数据 库 、 消 息 代 理 以 及 


网 络 时 间 NTP 服务 等 。 
控制 节点 还 可 以 运行 某 些 可 选 服务 , 例如 部 分 的 块 存储 管理 、 对 象 存储 管理 、 数据库 服 务 、 
自动 部 署 〈Orchestration) 以 及 Telemetry (Ceilometer)。 
2. 网 络 节点 
网 络 节点 运行 虚拟 网 络 插件 、 二 层 网 络 代理 以 及 三 层 网 络 代理 。 其 中 , 二 层 网 络 服务 包括 
虚拟 网 络 和 隧道 技术 ， 三 层 网 络 服务 包括 路 由 、 网 络 地 址 转换 (NAT) 以 及 DHCP 等 。 此 外 ， 
网 络 节点 还 负责 虚拟 机 与 外 部 网 络 的 连接 。 


3. 计算 节点 
计算 节点 运行 虚拟 化 监控 程序 (Hypervisor)， 管 理 虚 拟 机 或 者 实例 。 默 认 情况 下 ， 计 算 节 


点 采用 KVM 作为 虚拟 化 平台 。 除 此 之 外 ， 计 算 节点 还 可 以 运行 网 络 插件 以 及 二 层 网 络 代理 。 


通常 情况 下 ， 计 算 节点 会 有 多 个 。 
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13.2.3 ”计算 模块 Nova 


Nova 是 OpenStack 系统 的 核心 模块 ， 其 主要 功能 是 负责 虚拟 机 实例 的 生命 周期 管理 、 网 
络 管理 、 存 储 卷 管理 、 用 户 管理 以 及 其 他 的 相关 云 平台 管理 功能 。 从 能 力 上 讲 ，Nova 类 似 于 
Amazon EC2。Nova 逻辑 结构 中 的 大 部 分 组 件 可 以 划分 为 以 下 两 种 自 定义 的 Python 守护 进程 : 


(1) 接收 与 处 理 API 调用 请 求 的 Web 服务 器 网 关 接 口 (Python Web Server Gateway 
JInterface，WSGI)， 例 如 Nova-API 和 Glance-API 等 。 

(2) 执行 部 署 任务 的 Worker 守护 进程 ， 例 如 Nova-Compute、Nova-Network 以 及 
Nova-Schedule 等 。 


消息 队列 〈Queue) 与 数据 库 (Database) 作为 Nova 架构 中 的 两 个 重要 组 成 部 分 ， 虽 然 不 
属于 WSGI 或 者 Worker 进程 ， 但 是 两 者 通过 系统 内 消息 传递 和 信息 共享 的 方式 实现 任务 之 
间 、 模 块 之 间 以 及 接口 之 间 的 异步 部 署 ， 在 系统 层面 大 大 简化 了 复杂 任务 的 调度 流程 与 模式 ， 
是 Nova 的 核心 模块 。 

由 于 Nova 采用 无 共享 和 基于 消息 的 灵活 架构 ， 因 此 Nova 的 7 个 组 件 有 多 种 部 署 方 式 。 
用 户 可 以 将 每 个 组 件 单独 部 署 到 一 台 服 务 器 上 , 也 可 以 根据 实际 情况 将 多 个 组 件 部 署 到 一 台 服 
务 器 上 。 

下 面 给 出 几 种 常见 的 部 署 方式 。 


1. 单 节点 


在 这 种 方式 下 ， 所 有 的 Nova 服务 都 集中 在 一 台 服 务 器 上 ， 同 时 也 包含 虚拟 机 实例 。 由 于 
这 种 方式 的 性 能 不 高 ,因此 不 适合 生产 环境 , 但 是 部 署 起 来 相对 比较 简单 , 非常 适合 初学 者 练 
习 或 者 相关 开发 。 


2. 双 节 点 


这 种 部 署 方式 由 两 台 服 务 器 构成 , 其 中 一 台 作 为 控制 节点 ， 另 外 一 台 作 为 计算 节点 。 控 制 
节点 运行 除 Nova-Compute 服务 之 外 的 所 有 其 他 服务 ， 计 算 节点 运行 Nova-Compute 服务 。 双 
节点 部 署 方 式 适 合 规模 较 小 的 生产 环境 或 者 开发 环境 。 


3. 多 节点 

这 种 部 署 方式 由 用 户 根据 业务 性 能 需求 ,实现 多 个 功能 模块 的 灵活 安装 , 包括 控制 节点 的 
层次 化 部 署 和 计算 节点 规模 的 扩大 。 多 节点 部 署 方 式 适合 各 种 对 于 性 能 要 求 较 高 的 生产 环境 。 
13.2.4 ”分布 式 对 象 存储 模块 Swift 


Swift 是 OpenStack 系统 中 的 对 象 存储 模块 , 其 目标 是 使 用 标准 化 的 服务 器 来 创建 元 余 的 、 
可 扩展 且 存储 空间 达到 PB 级 的 对 象 存储 系统 。 简单 地 讲 ，Swift 非常 类 似 于 AWS 的 S3 服务 。 
它 并 不 是 传统 意义 上 的 文件 系统 或 者 实时 数据 存储 系统 ， 而 是 长 期 静态 数据 存储 系统 。 
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Swift 主要 由 以 下 3 种 服务 组 成 : 


(1) 代理 服务 : 提供 数据 定位 功能 ， 充 当 对 象 存储 系统 中 的 元 数据 服务 器 的 角色 ， 维 护 
账户 、 容 器 以 及 对 象 在 环 (Ring) 中 的 位 置信 息 ， 并 且 向 外 提供 API， 处 理 用 户 访问 请 求 。 

(2) 对 象 存储 : 作为 对 象 存储 设备 ， 实 现 用 户 对 象 数据 的 存储 功能 。 

(3) 身份 认证 : 提供 用 户 身份 鉴定 认证 功能 。 

OpenStack 中 的 对 象 由 存储 实体 和 元 数据 组 成 ， 相 当 于 文件 的 概念 。 当 向 Swift 对 象 存储 
系统 上 传 文件 的 时 候 ， 文 件 并 不 经 过 压缩 或 者 加 密 ， 而 是 和 文件 存放 的 容器 名 、 对 象 名 以 及 文 
件 的 元 数据 组 成 对 象 ， 存 储 在 服务 器 上 。 


13.2.5 ”虚拟 机 镜像 管理 模块 Glance 


Glance 项 目 主要 提供 虚拟 机 镜像 服务 ， 其 功能 包括 虚拟 机 镜像 、 存 储 和 获取 关于 虚拟 机 
镜像 的 元 数据 、 将 虚拟 机 镜像 从 一 种 格式 转换 为 另外 一 种 格式 。 

Glance 主要 包括 两 个 组 成 部 分 , 分 别 是 Glance API 和 Glance Registry。Glance API 主要 提 
供 接 口 ， 处 理 来 自 Nova 的 各 种 请 求 。Glance Registry 用 来 和 MySQL 数据 库 进 行 交互 ， 存 储 
或 者 获取 镜像 的 元 数据 。 这 个 模块 本 身 不 存储 大 量 的 数据 ， 需 要 挂 载 后 台 存 储 Swift 来 存放 实 


13.2.6 ”身份 认证 模块 Keystone 


Keystone 是 OpenStack 中 负责 身份 验证 和 授权 的 功能 模块 。Keystone 类 似 一 个 服务 总 线 ， 
或 者 说 是 整个 OpenStack 框架 的 注册 表 ， 其 他 服务 通过 keystone 来 注册 其 服务 的 端点 
(Endpoint)， 任 何 服务 之 间 相 互 的 调用 都 需要 经 过 Keystone 的 身份 验证 获得 目标 服务 的 端点 
来 找到 目标 服务 。 
Keystone 包含 以 下 基本 概念 : 


1. 用 户 ( User ) 


用 户 代表 是 可 以 通过 Keystone 进行 访问 的 人 或 程序 用户 通 过 认证 信息 (如 密码 .API Keys 
等 ) 进行 验证 。 


2. 租户 ( Tenant ) 


租户 是 各 个 服务 中 一 些 可 以 访问 的 资源 集合 。 例 如 , 在 Nova 中 一 个 租户 可 以 是 一 些 机 器 ， 
在 Swift 和 Glance 中 一 个 租户 可 以 是 一 些 镜像 存储 ， 在 Quantum 中 一 个 租户 可 以 是 一 些 网 络 
资源 。 默 认 情况 下 ， 用 户 总 是 绑 定 到 某 些 租户 上 面 。 


3. 角色 ( Role ) 
角色 代表 一 组 用 户 可 以 访问 的 资源 权限 ， 例 如 Nova 中 的 虚拟 机 、Glance 中 的 镜像 。 用 户 
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可 以 被 添加 到 任意 一 个 全 局 的 或 租户 内 的 角色 中 。 在 全 局 的 角色 中 , 用 户 的 角色 权限 作用 于 所 
有 的 租户 ， 即 可 以 对 所 有 的 租户 执行 角色 规定 的 权限 ; 在 租户 内 的 角色 中 , 用 户 仅 能 在 当前 租 
户 内 执行 角色 规定 的 权限 。 


4. 服务 ( Service ) 


OpenStack 中 包含 许多 服务 ， 如 Nova、Glance、Swift。 根 据 前 三 个 概念 ， 即 用 户 、 租 户 
和 角色 , 一 个 服务 可 以 确认 当前 用 户 是 否 具有 访问 其 资源 的 权限 。 但 是 当 一 个 用 户 尝试 着 访问 
其 租户 内 的 服务 时 , 该 用 户 必须 知道 这 个 服务 是 否 存 在 以 及 如 何 访问 这 个 服务 , 这 里 通常 使 用 
一 些 不 同 的 名 称 表示 不 同 的 服务 。 


5. 端点 ( Endpoint ) 


所 谓 端点 ， 是 指 某 个 服务 的 URL。 如 果 需 要 访问 一 个 服务 ， 就 必须 知道 该 服务 的 端点 。 
因此 ， 在 Keystone 中 包含 一 个 端点 模板 ， 这 个 模板 提供 了 所 有 存在 服务 的 端点 信息 。 一 个 端 
点 模板 包含 一 个 URL 列表 ， 列 表 中 的 每 个 URL 都 对 应 一 个 服务 实例 的 访问 地 址 ， 并 且 具 有 
public、private 和 admin 这 三 种 权限 。 其 中 ，public 类 型 的 端点 可 以 被 全 局 访问 ， 私 有 URL 只 
能 被 局 域 网 访问 ，admin 类 型 的 URL 被 从 常规 的 访问 中 分 离 。 


13.2.7 ”控制 台 Horizon 


Horizon 为 用 户 提 供 了 一 个 管理 OpenStack 的 控制 面板 ， 使 得 用 户 可 以 通过 浏览 器 ， 以 图 
形 界 面 的 方式 进行 相应 的 管理 任务 ， 避 免 去 记忆 烦琐 、 复 杂 的 命令 。Horizon 几乎 提供 了 所 有 
的 操作 功能 ， 包 括 Nova 虚拟 机 实例 的 管理 和 Swift 存储 管理 等 。 图 13.4 显示 了 Horizon 的 主 
界面 。 关 于 Horizon 的 详细 功能 ， 将 在 后 面 的 内 容 中 介绍 。 


We | 
VO BR - opensackc > 全 We we WE i wd 
€ 3 C [5864.138.219/dashboard/admin/ 六 中国 = 
后 openstack admin = ET 
项 上 ， 概况 
管理 员 ” ”使 用 情况 摘要 
EE ”选择 的 一 段 时 间 来 查 淘 其 用 量 : 
本 网 人 |zn40501| 引 | zt0524| BM assmnmosz- 
资源 使 用 情况 活跃 的 云 主机 : 1 笑 唉 的 内 存 ; 512MB 这 一 时 期 的 的 VCPU- 小 时 教 : 3 63 这 一 时 期 的 GB- 小 时 数 ; 3 53 
二 机 机 窜 轨 加 用 量 了 上 下 载 Csv 基 要 
主机 集合 项 目 名 移 谎报 内 共 [3 月 存 虚报 内 阁 小 时 数 研 盘 GB 小 时 孝 
am 1 1 StMB 。 36 26 
实例 
时 示人 条 目 


三 硬盘 


云 主机 磋 并 


图 13.4 Horizon 主 界面 
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] 3 .3 Openstack 主要 部 署 工 具 


前 面 已 经 介绍 过 ，OpenStack 的 体系 架构 比较 复杂 ， 对 于 初学 者 来 说 ， 逐 个 使 用 命令 来 安 
装 各 个 组 件 是 一 项 非常 困难 的 事情 。 幸 运 的 是 ,为 了 简化 OpenStack 的 安装 操作 ,许多 部 署 工 
具 已 经 被 开发 出 来 。 通过 这 些 工具 ， 用户 可 以 快速 地 描 建 出 一 个 OpenStack 的 学 习 环 境 。 本 节 
将 对 主要 的 OpenStack 部 署 工具 进行 介绍 。 


13.3.1 Fuel 


Fuel 是 一 个 端 到 端 一 键 部 署 OpenStack 设计 的 工具 ， 主 要 包括 裸 机 部 署 、 配 置 管理 、 
OpenStack 组 件 以 及 图 形 界面 等 几 个 部 分 ， 下 面 分 别 进行 简单 介绍 。 


1. 裸 机 部 署 


Fuel 支持 裸 机 部 署 ， 该 项 功能 由 HP 的 Cobbler 提供 。Cobbler 是 一 个 快速 网 络 安装 Linux 
的 服务 ,该 工具 使 用 Python 开发 ， 小 巧 轻便 ， 使 用 简单 的 命令 即 可 完成 PXE 网 络 安装 环境 的 
配置 ， 同 时 还 可 以 管理 DHCP、DNS 以 及 yum 包 镜 像 。 


二 Packstack 不 包括 此 功能 。 | 


2. 配置 管理 


配置 管理 采用 Puppet 实现 。Puppet 是 一 个 非常 有 名 的 云 环 境 自动 化 配置 管理 工具 ， 采 用 
XML 语言 定义 配置 。Puppet 提供 了 一 个 强大 的 框架 ， 简 化 了 常见 的 系统 管理 任务 ， 大 量 细节 
交 给 Puppet 去 完成 ， 管 理 员 只 要 集中 精力 在 业务 配置 上 。 系 统管 理 员 使 用 Puppet 的 描述 语言 
来 配置 ， 这 些 配置 便于 共享 。 Puppet 伸缩 性 强 ， 可 以 管理 成 千 上 万 台 机 器 。 


3. OpenStack 组 件 


除了 可 灵活 选择 安装 OpenStack 核心 组 件 以 外 ， 还 可 以 安装 Monitoring 和 HA 组 件 。Fuel 
还 支持 心跳 检查 。 


4. 图 形 界面 


Fuel 提供 了 基于 Web 的 管理 界面 Fuel Web, 可 以 使 用 户 非常 方便 地 部 署 和 管理 OpenStack 
的 各 个 组 件 。 


13.3.2 TripleO 


TripleO 是 另外 一 套 OpenStack 部 署 工 具 ，TripleO 又 称 为 OpenStack 的 OpenStack 
(OpenStack Over OpenStack)。 通 过 使 用 OpenStack 运行 在 裸 机 上 的 自 有 设施 作为 该 平台 的 基 
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础 ， 这 个 项 目 可 以 实现 OpenStack 的 安装 、 升 级 和 操作 流程 的 自动 化 。 
在 使 用 TripleO 的 时 候 ， 需 要 先 准备 一 个 OpenStack 控制 器 的 镜像 ， 然 后 用 这 个 镜像 通过 
OpenStack 的 Ironic 功能 去 部 署 裸 机 ， 再 通过 HEAT 在 裸 机 上 部 署 OpenStack。 


13.3:3 RDO 


RDO (Red Hat Distribution of OpenStack) 是 由 红 帽 公司 推出 的 部 署 OpenStack 集群 的 一 
个 基于 Puppet 的 部 署 工具 ， 可 以 很 快 地 通过 RDO 部 署 一 套 复 杂 的 OpenStack 环境 。 如 果 用 户 
想 在 REHL 上 面部 署 OpenStack， 最 便捷 的 方式 就 是 RDO。 在 本 书 中 ， 就 是 采用 RDO 来 介绍 
OpenStack 的 安装 。 


13.3.4 DevStack 


DevStack 实际 上 是 一 个 Shell 脚本 ， 可 以 用 来 快速 搭建 OpenStack 的 运行 和 开发 环境 ， 
特别 适合 OpenStack 开发 者 下 载 最 新 的 OpenStack 代码 后 迅速 在 自己 的 笔记 本 上 搭建 一 个 开发 
环境 。 正 如 DevStack 官方 所 强调 的 ，devstack 不 适合 用 在 生产 环境 中 。 


13. 4 通 过 RDO 部 署 OpenStack 


尽管 OpenStack 已 经 拥有 了 许多 部 署 工具 , 但 是 在 RHEL 或 者 CentOS 等 操作 系统 上 部 署 
OpenStack，RDO 仍然 是 首选 方案 。 尤 其 对 于 初学 者 来 说 ， 使 用 RDO 可 以 大 大 降低 部 署 的 难 
度 。 本 节 将 对 使 用 RDO 部 署 OpenStack 进行 详细 介绍 。 


13.4.1 部 署 前 的 准备 


OpenStack 对 于 软 硬 件 环境 都 有 一 定 的 要 求 ， 其 中 RHEL 是 官方 推荐 的 版 本 。 另 外 , 用户 
也 可 以 选择 其 他 基于 RHEL 的 发 行 版 ， 例 如 CentOS 6.5 及 之 后 的 版 本 (包括 CentOS 7.5)、 
Scientific Linux 6.5 或 者 Fedora 20 以 上 。 为 了 避免 Packstack 域名 解析 出 现 问题 ， 需 要 把 主机 
名 设置 为 完整 的 域名 来 代替 短 主机 名 〈 注 意 ， 如 果 不 使 用 自 建 的 DNS 服务 器 ， 同 时 也 要 修改 
/etc/hosts ) 。 

硬件 方面 ，OpenStack 至 少 需要 2GB 的 内 存 ，CPU 也 需要 支持 硬件 虚拟 化 。 此 外 ， 至 少 
有 一 块 网 卡 。 


13.4.2 配置 安装 源 


为 了 保证 当前 系统 的 所 有 软件 包 都 是 最 新 的 ， 需 要 使 用 yum 命令 进行 更 新 操作 ， 命 令 如 
Te 
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执行 以 上 命令 之 后 ，yum 软件 包 管 理 器 会 查询 安装 源 ， 以 验证 当前 系统 中 的 软件 包 是 否 
有 更 新 ; 如 果 存 在 更 新 ， 就 会 自动 进行 安装 。 由 于 系统 中 的 软件 包 通常 会 非常 多 ， 因 此 上 面 的 
更 新 操作 可 能 会 花费 较 长 的 时 间 。 

接 下 来 是 配置 OpenStack 安装 源 ， 目 前 RDO 的 最 新 版 本 为 IceHouse。RedH 提供 了 一 个 
RPM 软件 包 来 帮助 用 户 设置 RDO 安装 源 ， 其 URL 为 : 


用 户 只 要 安装 以 上 软件 包 即 可 ， 命 令 如 下 : 


执行 以 上 命令 之 后 , 会 为 当前 系统 添加 Foreman、Puppet Labs 和 RDO 安装 源 ,命令 如 下 : 


请 本 式 开始 安 交 之 前 , 还 需要 妥善 处 理 SELinux 和 防火 墙 等 ,以 免 安装 过 程 中 出 现 问题 或 
本 导致 安装 完成 后 无 法 访问 。 


13.4.3 ”安装 Packstack 


在 使 用 RDO 安装 OpenStack 的 过 程 中 ， 需 要 Packstack 来 部 署 OpenStack， 所 以 必须 提前 
安装 Packstack 软件 包 。Packstack 的 底层 也 是 基于 Puppet 的 ， 通 过 Puppet 可 部 署 OpenStack 
各 组 件 。Packstack 的 安装 命令 如 下 : 


13.4.4 安装 OpenStack 


Packstack 提供 了 多 种 方式 来 部 署 OpenStack, 包括 单 节点 和 多 节点 等 , 其 中 单 节点 部 署 最 
简单 。 在 单 节点 部 署 方式 中 ，OpenStack 所 有 的 组 件 都 被 安装 在 同一 台 服 务 器 上 面 。 用 户 还 可 
以 选择 控制 器 加 多 个 计算 节点 的 方式 或 者 是 其 他 的 部 署 方式 。 为 了 简化 操作 , 本 节 将 选择 单 节 
点 部 署 方式 。 

Packstack 提供 了 一 个 名 称 为 packstack 的 命令 来 执行 部 署 操 作 。 该 命令 支持 非常 多 的 选项 ， 
用 户 可 以 通过 以 下 命令 来 查看 这 些 选项 及 其 含义 : 
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[root@localhost ~]# packstack --help 


从 大 的 方面 来 说 ，packstack 命令 的 选项 主要 分 为 全 局 选项 、vCenter 选项 、MySQL 选项 、 
AMQP 选项 、Keystone 选项 、Glance 选项 、Cinder 选项 、Nova 选项 、Neutron 选项 、Horizon 
选项 、Swift 选项 、Heat 选项 、Ceilometer 选项 以 及 Nagios 选项 等 。 可 以 看 出 packstack 命令 
非常 灵活 ， 几 乎 为 所 有 的 OpenStack 都 提供 了 相应 的 选项 。 下 面 对 常 用 的 选项 进行 介绍 。 


(1) --gen-answer-file 
该 选项 用 来 创建 一 个 应 答 文件 (answer file)， 应 答 文 件 是 一 个 普通 的 纯 文本 文件 , 包含 了 
Packstack 部 署 OpenStack 所 需 的 各 种 选项 。 
(2) --answer-file 
该 选项 用 来 指定 一 个 已 经 存在 的 应 答 文件 ，packstack 命令 将 从 该 文件 中 读 取 各 选项 的 值 。 
(3) --install-hosts 
该 选项 用 来 指定 一 批 主机 , 主机 之 间 用 逗号 隔 开 。 列 表 中 的 第 1 台 主 机 将 被 部 署 为 控制 节 
点 ， 其 余 的 部 署 为 计算 节点 。 如 果 只 提供 了 一 台 主 机 ,那么 所 有 的 组 件 都 将 被 部 署 在 该 主机 上 
面 。 
(4) --allinone 
该 选项 用 来 执行 单 节 点 部 署 。 
($5) --os-mysql-install 
该 选项 的 值 为 y 或 者 n， 用 来 指定 是 否 安 装 MySQL 服务 器 。 
(6) --0s-glance-install 
该 选项 的 值 为 y 或 者 n， 用 来 指定 是 否 安 装 Glance 组 件 。 
(7) --os-cinder-install 
该 选项 的 值 为 y 或 者 n， 用 来 指定 是 否 安 装 Cinder 组 件 。 
(8) --os-nova-install 
该 选项 的 值 为 y 或 者 n， 用 来 指定 是 否 安 装 Nova 组 件 。 
(9) --os-neutron-install 
该 选项 的 值 为 y 或 者 n， 用 来 指定 是 否 安 装 Neutron 组 件 。 
(10) --os-horizon-install 
该 选项 的 值 为 y 或 者 n， 用 来 指定 是 否 安 装 Horizon 组 件 。 
(11) --os-Swift-install 
该 选项 的 值 为 y 或 者 n， 用 来 指定 是 否 安 装 Swift 组 件 。 
(12) --0s-ceilometer-install 
该 组 件 的 值 为 y 或 者 n， 用 来 指定 是 否 安 装 Ceilometer 组 件 。 
除了 以 上 选项 之 外 ， 对 于 每 个 具体 的 组 件 ，Packstack 也 提供 了 许多 选项 ， 不 再 详细 介绍 。 
如 果 用 户 想 在 一 个 节点 上 面 快速 部 团 OpenStack， 可 以 使 用 --allinone 选项 ， 命 令 如 下 : 
[root@localhost ~]# packstack --allinone 


如 果 想 要 单独 指定 其 中 的 某 个 选项 ， 例 如 下 面 的 命令 将 采用 单 节点 部 署 ， 并 且 虚 拟 网 络 
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采用 Neutron: 


Packstack 的 选项 非常 多 ， 为 了 便于 使 用 ，packstack 命令 还 支持 将 选项 及 其 值 写 入 一 个 应 
答 文件 (Answer file) 中 。 用 户 可 以 通过 --gen-answer-file 选项 来 创建 应 答 文 件 ， 如 下 所 示 : 


应 答 文件 为 一 个 普通 的 纯 文本 文件 ， 包 含 了 Packstack 部 署 OpenStack 所 需 的 各 种 选项 ， 
如 下 所 示 : 


用 户 可 以 根据 自己 的 需要 来 修改 生成 的 应 答 文件 ， 以 确定 某 个 组 件 是 否 需 要 安装 ， 以 及 
相应 的 安装 选项 。 修 改 完成 之 后 ， 使 用 以 下 命令 进行 安装 部 署 : 


如 果 没 有 设置 SSH 密 钥 ， 在 部 署 之 前 ，Packstack 会 询问 参与 部 署 的 各 主机 的 root 用 户 的 
密码 ， 用 户 输 入 相应 的 密码 即 可 。 下 面 的 代码 是 部 分 安装 过 程 : 


350 


第 13 章 配置 OpenStack 私有 云 


[有 员 。 兹 个 安 半 过 程 需要 花费 较 长 的 时 间 ,与 用 户 选 择 的 组 件 、 网 络 和 主机 的 硬件 配置 情况 密切 ] 
相关 ， 一 般 为 20~50 分 钟 。 如 果 在 安装 的 过 程 中 ， 由 于 网 络 原因 导致 安装 失败 ， 可 以 再 次 
执行 以 上 命令 重新 安装 部 署 。 


当 出 现 以 下 信息 时 ， 表 示 安 装 完成 : 


在 上 面 的 信息 中 ， 除 了 告诉 用 户 已 经 安装 部 署 完 成 之 外 ， 还 有 其 他 的 一 些 附加 信息 ， 这 些 
信息 包括 提醒 用 户 当前 主机 上 面 没 有 安装 NTP 服务， 因此 ,时间 同步 的 相关 配置 被 跳 过 去 了 ; 
脚本 文件 /root/keystonerc_admin 已 经 被 创建 了 ， 如 果 用 户 需 要 使 用 命令 行 工具 来 配置 
OpenStack ， 就 应 该 首先 使 用 source 命令 读 取 并 且 执 行 其 中 的 命令 ; 用 户 可 以 通过 
http://58.64.138.219/dashboard 来 访问 Dashboard， 即 控制 台 ， 登 录 信息 存储 在 用 户主 目录 中 的 
keystonerc_admin 文件 里 面 ; 用 户 可 以 通过 http://58.64.138.219/nagios 来 访问 Nagios， 并 给 出 
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了 用 户 名 和 密码 。 此 外 ， 还 有 一 些 安装 日 志文 件 的 位 置信 息 。 

由 于 CentOS 7.5 使 用 yum 源 的 关系 ， 安 装 某 些 组 件 时 可 能 会 失败 ， 例 如 mariaDB， 此 时 
只 需 手 动 将 其 安装 好 并 设置 其 访问 权限 继续 安装 即 可 。 有 具体 细节 可 参考 mariaDB 相关 文档 了 
解 ， 此 处 不 再 歼 述 。 


1 每 次 使 用 -allinone 选项 来 安装 OpenStack 都 会 自动 创建 一 个 应 答 文件 。 因 此 ， 如 果 在 
安装 过 程 中 出 现 了 问题 ， 重 新 执行 单 节点 安装 时 ,应 该 使 用 --answer-file 指定 自动 创建 
| 的 应 管 文件 。 


13.5 管理 OpenStack 


OpenStack 提供 了 许多 命令 行 的 工具 来 管理 配置 各 项 功能 ， 但 是 这 需要 记忆 大 量 的 命令 和 
选项 , 对 于 初学 者 来 说 ,其 难度 非常 大 。 通过 Horizon 控制 台 , 可 以 非常 方便 地 管理 OpenStack 
的 各 项 功能 ， 对 于 初学 者 来 说 ， 这 是 一 个 便捷 的 途径 。 本 节 主 要 介绍 如 何 通过 控制 台 管 理 
OpenStack。 


13.5.1 登录 控制 台 


安装 成 功 之 后 ， 用 户 就 可 以 通过 浏览 器 来 访问 控制 台 了 ， 其 地 址 为 主机 的 IP 地 址 加 上 

dashboard。 例 如 ， 在 本 例 中 ， 主 机 的 IP 地 址 为 58.64.138.219， 所 以 其 默认 的 控制 台 网 址 为 : 
http://58.64.138.219/dashboard | 
控制 台 登 录 界 面 如 图 13.5 所 示 。 


[MR DA GR 
和 © B58.64.138.219/dashboard 


Openstack 


[3 
图 13.5 控制 台 登 录 界面 
在 上 面 的 一 节 中 ， 当 OpenStack 部 署 的 最 后 ,告诉 用 户 控 制 台 的 登录 信息 位 于 用 户主 目录 
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的 keystonerc_admin 文件 中 ， 所 以 可 以 使 用 以 下 命令 查看 该 文件 的 内 容 : 


在 上 面 的 代码 中 ，OS_USERNAME 就 是 控制 台 的 用 户 名 ， 而 OS_PASSWORD 则 是 控制 
台 的 登录 密码 ， 这 个 命名 由 Packstack 自动 生成 ， 所 以 比较 复杂 。 

登录 成 功 之 后 ， 会 出 现 控制 台 主 界面 ， 如 图 13.6 所 示 。 左 侧 为 导航 栏 ， 分 为 “项 目 ” 和 
“管理 员 ” 两 大 菜单 项 。 如 果 使 用 普通 用 户 登录 ， 就 只 出 现 “ 项 目 ” 菜 单项 。 


于 ”使 用 情况 摘要 
二 选择 的 一 段 时 间 来 查询 其 用 量 : 
A 2050 Nom emer 


LL 相生 的 去 主要 :0 各 中 的 内 存 :0 es 识 一 时 类 的 的 VCPU- 小 时 节 :0 这 一 时 地 的 GB- 小 时 各 :0 


i 用 量 i 


Eh 加 
Sn 
ER 
ze 


a 


| 


13.6 ”控制 台 主 界面 


“项 目 ” 菜 单项 中 包含 了 用 户 安装 的 各 组 件 ， 二 级 菜单 根据 用 户 选 择 的 组 件 有 所 变化 。 在 
本 例 中 ， 包 含 了 “计算 ”“ 网 络 ” 和 “对 和 象 ”3 个 菜单 项 。 其 中 ,“ 计 算 ” 菜 单项 中 包含 了 与 计 
算 节 点 有 关 的 功能 ， 例 如 实例 、 云 硬盘 、 镜 像 以 及 访问 和 安全 等 。“ 网 络 ” 包 含 了 网 络 拓扑 、 
虚拟 网 络 以 及 路 由 等 。“ 对 象 ”主要 包含 容器 的 管理 。 

“管理 员 ” 菜 单项 包含 与 系统 管理 有 关 的 操作 ， 主 要 有 “系统 面板 ”和 “认证 面板 ”两 个 菜 
单项 。“ 系 统 面板 ”包含 了 “虚拟 机 管理 器 ”“ 主 机 集合 ”““ 实 例 ” 以 及 “ 云 磁盘 ”等 菜单 项 。 用 户 
可 以 通过 “系统 信息 ”菜单 项 来 查看 当前 安装 的 服务 及 其 主机 ， 如 图 13.7 所 示 。 
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图 13.7 所 安装 的 OpenStack 服务 及 其 主机 
“认证 面板 ”主要 与 用 户 认 证 有 关 ， 包 含 “项 目 ” 和 “用 户 ” 两 个 菜单 项 。 其 中 ,“ 项 目 ” 
实际 上 指 的 就 是 租户 ， 而 “用 户 ” 指 的 是 系统 用 户 。 


13.5.2 用户 设置 
单 击 主 界面 右上 角 的 用 户 名 对 应 的 下 拉 菜 单 , 选择“ 设置” 命令, 打开 “用 户 设置 ” 窗口 ， 
如 图 13.8 所 示 。 


or 人 sn > 画 呈 Rn 


3 © [BD 5864138219/d 


BY openstack 


说 明 : 
为 网 己 信 六 侈 条 板 总 


13.8 用 户 设置 
用 户 可 以 设置 “语言 ”和 “时 区 ”等 选项 。 单 击 左 侧 的 “修改 密码 ”菜单 项 ， 打 开 “ 修 改 
密码 ”窗口 ， 输 入 当前 的 密码 ， 就 可 以 修改 用 户 密码 ， 如 图 13.9 所 示 。 
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修改 密码 


当前 主权 说 明 


胡可 以 从 比 处 可 全 邓 严 码 。 我 们 各 呈 失 中 让 一 
TSE 
Ei 


图 13.9 修改 密码 
不 过 目前 来 说 ， 用 户 设置 里 的 语言 和 时 区 的 设置 只 是 保存 在 Cookie 里 面 ， 并 没有 存储 在 
数据 库 里 。 默认 语言 是 根据 浏览 器 的 语言 来 决定 的 ,用户 个 性 化 的 设置 都 是 无 法 保存 的 。 因 为 
目前 Keystone 无 法 存放 这 些 数据 ， 所 以 用 户 也 无 法 修改 邮箱 ， 也 就 导致 了 无 法 实现 取 回 密码 
的 功能 。 


13.5.3 “管理 用 户 


在 “管理 员 ” 菜 单 中 ， 选 择 “ 用 户 ” 菜 单项 ， 窗 口 的 右 侧 列 出 了 当前 系统 的 各 个 用 户 ， 如 
图 13.10 所 示 。 


= ei .3 
Ge" He eIOn > 
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oe 
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图 13.10 系统 用 户 
单 击 右 侧 的 “编辑 ”菜单 ， 可 以 修改 当前 的 用 户 。 选 择 某 个 用 户 左 侧 的 复 选 框 ， 然 后 单 击 
“删除 用 户 ” 按 钮 ， 可 以 将 选中 的 用 户 删 除 。 单 击 “ 创 建 用 户 ” 按 钮 ， 可 以 打开 “创建 用 户 ” 
对 话 框 ， 如 图 13.11 所 示 。 在 “用 户 名 ”“ 邮 箱 ”“ 密 码 ” 以 及 “确认 密码 ”等 文本 框 中 输入 相 
应 的 信息 ， 选 择 “ 主 项 目 ” 和 “和 角色” 之后， 单 击 “ 创 建 用 户 ” 按 钮 即 可 完成 用 户 的 创建 。 
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[LE 
€ © D580.64138219/dashboard/admin/user 


13.11 创建 用 户 
13.5.4 ”管理 镜像 


用 户 可 以 管理 当前 OpenStack 中 的 镜像 文件 。 前面 已 经 介绍 过 ，Glance 支持 很 多 格式 , 但 
是 对 于 企业 来 说 ,其 实用 不 了 那么 多 格式 。 用 户 可 以 自己 制作 镜像 文件 , 也 可 以 从 网 络 上 面 下 
载 已 经 制作 好 的 镜像 文件 。 以 下 网 址 列 出 了 常用 操作 系统 的 镜像 文件 : 

http://openstack.redhat .com/Image_resources 


下 面 以 CentOS 7.5 为 例 ， 说 明 如 何 创建 一 个 镜像 。 


(1) 进入 “管理 员 ” 一 “系统 面板 ” 选择 “镜像 ”菜单 项 ， 右 侧 列 出 了 当前 系统 中 的 镜 
像 ， 如 图 13.12 所 示 。 


四 | 
o Ss »: ‘0 ‘TE ‘SS Dn" ¢ S: ‘加 重 ' 
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图 13.12 镜像 列表 
(2) 单 击 右上 侧 的 “创建 镜像 ”按钮 打开“ 创建 一 个 镜像 ”窗口 ， 如 图 13.13 所 示 。 
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Lo = 
WV Owe -opersat oc « (Oe pope > 


| ¢ 3 © [0 5864138219/dashboard/admin/images/images/ ET 


一 说 明 : 
GeniO575 生计 仿 上 入 到 六 夯 


昌 关 只 支持 HTTP URL 采用 久 他 汉江 
和 /3 人 像 起 址 * 支持 演 信 的 二 老 制 下 过 冰 叉 


天 注意 。 江 地 直 必 村 生效 的 百业 定 全 到 光 银 二 过 
得 件 的 URL。 URL 社 重 宝 疝 有 可 下 固 棋 页 
耐克 各 视 多 不 可 用， 


EECTTTOD 


最 小 国明 《GB) 


六 小 内 站 UB) 


图 13.13 ”创建 镜像 


在 “名 称 ” 文 本 框 中 输入 镜像 的 名 称 , 例如 CentOS 7.5， 在 “描述 ”文本 框 中 输入 相应 的 
描述 信息 ， 在 “镜像 源 ” 下 拉 菜 单 中 选择 “镜像 地 址 ”选项 ， 在 “镜像 地 址 ”文本 框 中 输入 
CentOS 7.5 镜像 文件 的 地 址 为 : 


“格式 化 ”下 拉 菜 单 选择 相应 的 文件 格式 ,在 本 例 中 选择 “QCOW2 - QEMU 模拟 器 ” 选 
项 。 选 中 “公有 ” 复 选 框 ， 如 果 不 是 生产 环境 ， 其 他 的 选项 可 以 保留 默认 值 。 


(3) 单 击 “ 创 建 镜像 ”按钮 ， 关 闭 窗口 。 在 镜像 列表 中 列 出 了 刚才 创建 的 镜像 ， 其 状态 
为 Saving。 

(4) 由 于 需要 把 整个 镜像 文件 下 载 下 来 , 因此 需要 较 长 的 时 间 。 到 镜像 的 状态 变 成 Active 
时 ， 表 示 镜 像 已 经 创建 成 功 ， 处 于 可 用 状态 ， 如 图 13.14 所 示 。 
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13.14 ”镜像 创建 成 功 
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对 于 其 他 的 镜像 文件 ， 用 户 可 以 采用 类 似 的 步骤 来 完成 创建 操作 。 
如 果 用 户 想 要 修改 某 个 镜像 的 信息 ， 可 以 单 击 相应 行 右 侧 的 “编辑 ”按钮 ， 打 开 “ 上 传 镜 


像 ”对 话 框 ， 如 图 13.15 所 示 。 


上 传 镜像 


名 和 
CentO5 75 


摘 述 : 
在 这 儿 各 可 以 店铺 从 的 属性 


修改 完成 之 后 ， 单 击 右 下 角 的 “ 


图 13.15 “修改 镜像 信息 
上 传 镜像 文件 ”按钮 关闭 对 话 框 。 


如 果 用 户 不 再 需要 某 个 镜像 文件 ， 单 击 右 侧 的 “更 多 ”按钮 ， 选 择 “删除 镜像 ”命令 ， 即 


可 将 该 镜像 文件 删除 。 


13.5.5 ”管理 云 主 机 类 型 


云 主 机 类 型 (Flavors) 实际 上 对 云 主机 的 硬件 配置 进行 了 限定 。 进 入 “管理 员 ” 菜 单 里 面 
的 “系统 面板 ”， 单 击 “ 云 主机 类 型 ”菜单 项 ， 窗 口 的 右 侧 列 出 了 当前 已 经 预定 义 好 的 主机 类 
型 , 如 图 13.16 所 示 , 从 图 中 可 以 得 知 , 系统 默认 已 经 内 置 了 5 个 云 主机 类 型 , 分 别 是 ml.tiny、 
ml.small、ml.medium、ml.large 和 ml.xlarge。 从 表格 中 可 以 看 出 ， 这 5 个 内 置 类 型 的 硬件 配 


置 是 从 低 到 高 的 ， 主 要 体现 在 CPU 的 个 数 、 内 存 以 及 根 磁盘 这 3 方面 。 
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这 5 个 类 型 已 经 基本 满足 用 户 的 需求 。 如 果 用 户 需 要 其 他 配置 的 主机 类 型 , 则 可 以 创建 新 
的 主机 类 型 。 下 面 介绍 创建 新 的 主机 类 型 的 步骤 。 


(1) 单 击 图 13.16 中 右上 角 的 “创建 云 主 机 类 型 ”按钮 打开“ 创建 云 主 机 类 型 ”窗口 。 
在 “名 称 ”文本 框 中 输入 主机 类 型 的 名 称 ， 如 ml.1g，ID 文本 框 保留 原来 的 auto， 表 示 自 动 
生成 ID。 虚拟 内 核实 际 上 指 的 是 云 主 机 CPU 的 个 数 , 在 本 例 中 输入 “2”。 内 存 以 MB 为 单位 ， 
在 本 例 中 输入 1024， 根 磁盘 的 容量 以 GB 为 单位 ， 在 本 例 中 输入 10。 临 时 磁盘 和 交换 盘 空 间 
都 为 0， 如 图 13.17 所 示 。 


ep 


图 13.17 创建 主机 类 型 
(2) 单 击 窗口 上 面 的 “ 云 主机 类 型 访问 ” 切换 到 “ 云 主机 类 型 访问 ”选项 卡 。 在 窗口 的 
左 侧 列 出 了 当前 系统 中 所 有 的 租户 , 右 侧 则 列 出 了 可 以 访问 该 主机 类 型 的 租户 。 单 击 某 个 租户 
右 侧 的 图 按钮 ， 将 该 租户 添加 到 右 侧 ， 赋 予 该 租户 使 用 该 类 型 的 权限 ， 如 图 13.18 所 示 。 
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图 13.18 ”指定 云 主机 类 型 的 访问 权限 
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(3) 设置 完成 之 后 ， 单 击 右 下 角 的 “创建 云 主机 类 型 ”按钮 ， 完 成 主机 类 型 的 创建 。 
除了 添加 主机 类 型 之 外 ,用 户 还 可 以 修改 主机 类 型 的 信息 、 修 改 使 用 权 以 及 删除 主机 类 型 。 
这 些 操作 都 比较 简单 ， 不 再 详细 说 明 。 


13.5.6 ”管理 网 络 


Neutron 是 OpenStack 核心 项 目 之 一 , 提供 云 计算 环 境 下 的 虚拟 网 络 功 能 。 Neutron 的 功能 
日 益 强大 ， 并 在 Horizon 面板 中 已 经 集成 该 模块 。 为 了 能 够 使 得 读者 更 好 地 掌握 网 络 的 管理 ， 
下 面 首先 介绍 一 下 Neutron 的 几 个 基本 概念 。 


1. 网 络 


在 普通 人 的 眼 里 ， 网 络 就 是 网 线 和 供 网 线 插 入 的 端口 ， 一 个 盒子 会 提供 这 些 端口 。 对 于 网 
络 工程 师 来 说 , 网 络 的 盒子 指 的 是 交换 机 和 路 由 器 。 所 以 在 物理 世界 中 ,网 络 可 以 简单 地 被 认 
为 包括 网 线 、 交 换 机 和 路 由 器 。 当 然 ， 除 了 物理 设备 ， 还 有 软件 方面 的 组 成 部 分 ， 例 如 IP 地 
址 、 交换 机 和 路 由 器 的 配置 和 管理 软件 以 及 各 种 网 络 协 议 。 要 管理 好 一 个 物理 网 络 , 需要 非常 
多 的 网 络 专业 知识 和 经 验 。 

Neutron 网 络 的 目的 是 划分 物理 网 络 ， 在 多 租户 环境 下 提供 给 每 个 租户 独立 的 网 络 环境 。 
另外 ，Neutron 提供 API 来 实现 这 种 目标 。Neutron 中 的 “网 络 ” 是 一 个 可 以 被 用 户 创建 的 对 
象 , 如 果 要 和 物理 环境 下 的 概念 映射 ， 那 么 这 个 对 象 相当 于 一 个 巨大 的 交换 机 ， 可 以 拥有 无 限 
多 个 动态 可 创建 和 销毁 的 虚拟 端口 。 


2. 端口 


在 物理 网 络 环境 中 ， 端 口 是 用 于 连接 设备 进入 网 络 的 地 方 。Neutron 中 的 端口 起 着 类 似 的 
功能 ， 是 路 由 器 和 虚拟 机 挂 接 网 络 的 着 附 点 。 


3. 路 由 器 


和 物理 环境 下 的 路 由 器 类 似 ，Neutron 中 的 路 由 器 也 是 一 个 路 由 选择 和 转发 部 件 。 只 不 过 
在 Neutron 中 ， 它 是 可 以 创建 和 销毁 的 软 部 件 。 


4. 子 网 


简单 地 说 ， 子 网 是 由 一 组 IP 地 址 组 成 的 地 址 池 。 不 同 子 网 间 的 通信 需要 路 由 器 的 支持 ， 
这 个 Neutron 和 物理 网 络 下 是 一 致 的 。Neutron 中 的 子 网 隶属 于 网 络 。 图 13.19 描述 了 一 个 典 
型 的 Neutron 网 络 结构 。 
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由 租户 创建 和 管理 


图 13.19 典型 的 Neutron 网 络 结构 


在 图 13.19 中 ， 存 在 一 个 和 互联 网 连接 的 Neutron 外 部 网 络 。 这 个 外 部 网 络 是 租户 虚拟 机 
访问 互联 网 或 者 互联 网 访问 虚拟 机 的 途径 。 外 部 网 络 有 一 个 子 网 A, 它 是 一 组 在 互联 网 上 可 寻 
址 的 IP 地 址 。 一 般 情况 下 ， 外 部 网 络 只 有 一 个 ， 且 由 管理 员 创建 和 管理 。 租 户 网 络 可 由 租户 
任意 创建 。 当 一 个 租户 网 络 上 的 虚拟 机 需要 和 外 部 网 络 以 及 互联 网 通信 时 , 这 个 租户 就 需要 一 
个 路 由 器 。 路 由 器 有 两 种 臂 ， 一 种 是 网 关 (gateway) 辟 ， 另 一 种 是 网 络 接口 辟 。 网 关 辟 只 有 
一 个 ， 连 接 外 部 网 。 接 口 臂 可 以 有 多 个 ， 连 接 租户 网 络 的 子 网 。 

对 于 图 13.19 所 示 的 网 络 结构 ， 用 户 可 以 通过 以 下 步骤 来 实施 : 


(1) 管理 员 拿 到 一 组 可 以 在 互联 网 上 寻 址 的 IP 地 址 ， 并 且 创 建 一 个 外 部 网 络 和 子 网 。 
(2) 租户 创建 一 个 网 络 和 子 网 。 

(3) 租户 创建 一 个 路 由 器 并 且 连 接 租 户 子 网 和 外 部 网 络 。 

(4) 租户 创建 虚拟 机 。 


接 下 来 介绍 如 何在 控制 台中 实现 以 上 网 络 。 管 理 员 登 录 控 制 台 ,选择 “管理 员 ” 面 板 ， 单 
击 “ 网 络 ”菜单 项 后 显示 当前 网 络 列表 ， 如 图 13.20 所 示 。 
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13.20 网络 列表 
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从 图 13.20 中 可 以 得 知 ，OpenStack 已 经 默认 创建 了 一 个 名 称 为 public 的 外 部 网 络 ， 并 且 


已 经 拥有 了 一 个 名 称 为 public_subnet、 网 络 地 址 为 172.24.4.224/28 的 子 网 。 
单 击 右上 角 的 “创建 网 络 ” 按 钮 ， 可 以 打开 “创建 网 络 ”窗口 ， 创 建新 的 外 部 网 络 ， 如 图 


13.21 所 示 。 


/Dm x (CE x op x (ONe x (Ene x\ Fx @oprx 1 
€ 3 G |D 58.64.138.219/dashboard/admin/networks/ y 


13.21 创建 网 络 


尽管 Neutron 支持 多 个 外 部 网 络 , 但 是 在 多 个 外 部 网 络 存 在 的 情况 下 , 其 配置 会 非常 复杂 ， 
所 以 不 再 介绍 创建 新 的 外 部 网 络 的 步骤 , 而 是 直接 使 用 已 有 的 名 称 为 public 的 外 部 网 络 。 在 网 
络 列表 窗口 中 ， 单 击 网 络 名 称 就 可 以 查看 相应 网 络 的 详细 信息 ， 如 图 13.22 所 示 。 
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图 13.22 ”public 的 网 络 详情 


可 以 看 到 ,网 络 详情 主要 包含 3 个 部 分 ， 分 别 是 网 络 概况 、 子 网 和 端口 。 网 络 概况 部 分 描 
述 了 外 部 网 络 的 重要 属性 ， 例 如 名 称 、ID、 项 目 ID 以 及 状态 等 。 子 网 部 分 列 出 了 该 网 络 划分 
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包含 子 网 名 称 、 网 络 地 址 以 及 网 关 等 信息 。 用 户 可 以 添加 或 者 删除 子 网 。 端口 部 分 列 
出 了 网 络 中 的 网 络 接口 ， 包 括 名 称 、 固 定 IP、 连 接 设 备 以 及 状态 等 信息 。 管 理 员 可 以 修改 端 
的 名 称 ， 但 是 不 能 删除 端口 。 
前 面 已 经 介绍 过 , 除了 外 部 网 络 之 外 , 还 有 租户 网 络 。 租 户 网 络 主要 包括 子 网 、 路 由 器 等 。 
户 可 以 创建 、 删 除 属于 自己 的 网 络 、 子 网 以 及 路 由 器 等 。 下 面 介绍 如 何 管 理 租户 网 络 。 


(1) 以 普通 用 户 demo 登录 控制 台 ， 在 左 侧 的 菜单 中 选择 “网 络 ” 一 “网 络 ”， 页 面 右 侧 


; se ee | i a 
列 出 了 当前 系统 中 可 用 的 网 络 列表 ， 如 图 13.23 所 示 。 
Dz>*\ 回 " ' 图 5 加 5 Oh 国 * vy “ 国 # “Dr “区 ce 、 国 < 
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图 13.23 demo 用 户 可 用 的 网 络 


(2) 单 击 “ 创 建 网 络 ” 按钮， 打开 “创建 网 络 ” 窗 口 ， 如 图 13.24 所 示 。 在 “网 络 名 称 ” 
文本 框 中 输入 网 络 的 名 称 ， 例 如 private3， 单 击 “ 下 一 步 ” 按 钮 ， 进 入 下 一 个 界面 。 


二 | 
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图 13.24 设置 网 络 名 称 


(3) 如 果 需 要 创建 子 网 ， 就 选中 “创建 子 网 ” 复 选 框 ， 在 “ 子 网 名 称 ” 文 本 框 中 输入 子 
网 的 名 称 , 例如 private_subnet2, 在 “网 络 地址 ”文本 框 中 输入 子 网 的 ID, 例如 192.168.21.0/24， 
在 “IP 版 本 ”下 拉 菜 单 中 选择 “IPv4” 选 项 ， 在 “网 关 IP” 文 本 框 中 输入 子 网 网 关 的 JP 地址， 
例如 192.168.21.1， 如 图 13.25 所 示 。 单 击 “ 下 一 步 ” 按 钮 ， 进 入 下 一 个 界面 。 
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图 13.25 设置 子 网 
(4) 选中 “激活 DHCP” 复 选 框 ， 在 “分 配 地 址 池 ” 文 本 框 中 输入 DHCP 地 址 池 的 范围 ， 
例如 192.168.21.2~192.168.21.128， 在 “DNS 域名 解析 服务 ”文本 框 中 输入 DNS 服务 器 的 IP 
地 址 ， 如 图 13.26 所 示 。 单 击 “ 已 创建 ”按钮 ， 完 成 网 络 的 创建 。 


DD*\ 四 “ 国 (加 “0 "加 图 1Q ‘天 ,图 ~ 
所 3 © | 58.64.138.219/dashboard/project/network y 园 三 


se 为 子 同 酝 师 )H 局 性 
分 本 地址 下 


DNS 结 名 解析 服务 


图 13.26 设置 DHCP 服务 
通过 上 面 的 操作 ， 租 户 已 经 创建 了 一 个 新 的 网 络 ， 但 是 这 个 网 络 还 不 能 与 外 部 网 络 连 通 。 


为 了 连通 外 部 网 络 , 租户 还 需要 创建 和 设置 路 由 器 。 下 面 介绍 如 何 通 过 设置 路 由 器 将 新 创建 的 
网 络 连 接 到 外 部 网 络 。 

(1) 以 demo 用 户 登录 控制 台 ， 选 择 “ 网 络 ” 一 “路 由 ”菜单 ， 窗 口 右 侧 列 出 当前 租户 
可 用 的 路 由 器 ， 如 图 13.27 所 示 。 
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图 13.27 租户 路 由 器 列表 


在 图 13.27 中 列 出 了 一 个 名 称 为 routerl 的 路 由 器 ， 该 路 由 器 为 安装 OpenStack 时 自动 创 
建 的 路 由 器 。 从 图 中 可 以 得 知 ， 该 路 由 器 已 经 连接 到 名 称 为 public 的 外 部 网 络 。 


(2) 单 击 路 由 器 名 称 ， 打 开 “ 路 由 详情 ”窗口 ， 如 图 13.28 所 示 。 该 窗口 主要 包括 “路 
由 概览 ”和 “接口 ”两 个 部 分 。“ 路 由 概览 ”部 分 列 出 了 路 由 器 的 名 称 、ID、 状 态 和 外 部 网 关 
等 信息 。“ 接 口 ”部 分 列 出 了 该 路 由 器 所 拥有 的 连接 到 内 部 网 络 的 接口 


a 二 ‘=| © lnk) 
/Or \g” / 画 C YE '0' | 国 ; “ Tv GTOTTY 国 c 1 国 c dd 
4 3 © | 口 58.64138.219/dashboard/projectrouters/5477b946-9981-465Fb88a-68fl1 己 穴 | 声 国 三 
加 openstack demo emo 生 ”| 退出 
砚 目 路 由 详情 
Ce 路 由 概览 : router1 
网 络 各 你 
Tuter1 
[iid 6477b946-0981.465Fb8aa-68f11b25ca98 
了 ACTIE 
pe pubic 
接口 
对 象 存 络 
接口 十 增加 扩 口 
四 固定 P 基态 。。” 类型。 管理 员 拟态 。 动作 
(35183944) 192.1681.1 。 ACTIVE 内 部 扩 UP 
) 10001 ACTIVE 内 禄 报 D UP 
号 示 2 人 条 目 
= -ee | 


图 13.28 路 由 详情 页 面 


(3) 单 击 “ 增 加 接口 ”按钮 打开 “增加 接口 ”对 话 框 ， 如 图 13.29 所 示 。 在 “ 子 网 ” 
下 拉 菜 单 中 选择 刚刚 创建 的 网 络 private3 的 子 网 private_subnet2， 在 “IP 地 址 ”文本 框 中 输入 
接口 的 耳 地 址 ， 例 如 192.168.21.1， 单 击 “ 增 加 接口 ”按钮 ， 关 闭 对 话 框 。 
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现在 这 个 租户 的 路 E 


这 个 虚拟 机 借助 路 由 
可 以 查看 当前 租户 的 网 络 拓扑 结构 ， 如 图 13.30 所 示 。 


192.168.1.1 和 192.168.21.1。 实际 上 , 这 3 个 网 络 接口 
的 另外 一 个 接口 连接 到 外 部 网 络 public。 
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图 13.29 增加 接口 
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器 已 经 连接 了 外 网 和 租户 的 子 网 ， 接 下 来 这 个 租户 可 以 创建 虚拟 机 ， 


器 就 可 以 访问 外 部 网 络 甚至 互联 网 。 选 择 “ 网 络 ” 一 “网 络 拓扑 ”菜单 ， 


Cs] 


图 13.30 demo 租户 的 网 络 拓扑 结构 


从 图 13.30 可 以 得 知 , demo 租户 拥有 3 个 网 络 , 其 名 称 分 别 为 private、private2 和 private3， 
其 网 络 地 址 分 别 为 10.0.0.0/24、192.168.1.0/24 以 及 192.168.21.0/24， 每 个 子 网 中 都 有 几 台 虚拟 
机 。 这 3 个 网 络 分 别 连接 到 路 由 器 routerl 的 3 个 接口 上 面 ， 接 口 的 IP 地 址 分 别 为 10.0.0.1、 


分 别 充当 3 个 网 络 的 网 关 。 路 由 器 routerl 
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13.5.7 “管理 实例 
所 谓 实例 (instance),， 实际 上 指 的 就 是 虚拟 机 。 之 所 以 称 为 实例 ， 是 因为 在 OpenStack 中 ， 
虚拟 机 总 是 从 一 个 镜像 创建 而 来 的 。 下 面 介绍 如 何 管理 实例 。 


以 demo 用 户 登录 控制 台 ， 进 入 “Compute” 一 “实例 ”菜单 ， 窗 口 右 侧 列 出 当前 租户 所 
拥有 的 实例 ， 如 图 13.31 所 示 。 
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13.31 实例 列表 


单 击 右上 角 的 “启动 云 主机 ”按钮 ， 打 开 “ 启 动 云 主机 ”对 话 框 ， 如 图 13.32 所 示 。 在 “ 云 
主机 名 称 ” 文 本 框 中 输入 主机 名 称 , 例 如 webserver。 在 “ 云 主 机 类 型 "下拉 菜单 中 选择 “ml.small” 
选项 ， 创 建 一 个 CPU、20GB 的 硬盘 以 及 2GB 内 存 的 虚拟 机 。 在 “ 云 主机 数量 ”文本 框 中 输 
入 1， 即 只 创建 一 个 虚拟 机 。 在 “ 云 主机 启动 源 ” 下 拉 菜 单 中 选择 “从 镜像 启动 ”选项 , 在 “ 镜 
像 名 称 ” 下 拉 菜 单 中 选择 “cirros(12.5MB)” 选 项 。 


‘*\g: ‘EE: ‘BB! ‘0 ‘@® 
© 0 58.64.138.219/dashboard/p 


o 
的 ances 
| 国 启动 云 主机 
人 
5- 指定 鹿 建 云 主机 的 洋 线 信息 
RE ”。 评 引 说 明 后 动 云 主机 的 传 及 下 看 的 于 帮办 未 村 项 目 所 合用 
PN 庆 帝 其 和 和 关 环抱 声 昌 配 得。 
= 万 索 详 情 
re 让 
云 主机 娄 型 虚报 内 入 和 
mh ”se 2008 
云 主机 数量 坑 时 总 名 0GB 
1 所 有 癌 条 20 G8 
ee 
| 
A 中 的 7168 MB 已 生计 
[ 


图 “DQ! “图 ( “区 


13.32 创建 云 主机 
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切换 到 “访问 & 安全 ”选项 卡 ， 如 图 13.33 所 示 。 在 “ 值 对 ”下 拉 菜单 中 选择 一 个 密 钥 
对 作为 访问 虚拟 机 的 方式 。 选 中 “安全 组 ”中 的 “default” 选 项 。 


TD 加 ‘01 ' 国 ( “ 国 有 
ect/instances/ 安 马 加 三， 


上 
jg: (Er: ‘BE: ‘B®: 19) 
和 CC |B 58.64.138.219/dashboa 


甬 过 宝 害 对 、 防火 墙 、 和 和 共 它 机 制 控制 作 的 云 主机 权限 


13.33 选择 密 钥 对 


如 果 目 前 还 没有 密 钥 对 , 可 以 单 击 右 侧 的 二 按钮 , 打开 “导入 密 钥 对 ”对 话 框 ， 如 图 13.34 
所 示 。 


描述 : 
密 加 对 是 可 以 用 未 登陆 你 创建 的 实例 


为 密 外 对 起 一 个 你 容易 记 住 的 名 字 ， 然 后 在 提供 的 空 
白 处 由 贴 你 的 SSH 公 铀 


可 以 使 用 ssh-keygen 命 令 未 生成 SSH 密 钥 对 


这 将 生成 一 对 私 钥 (cloud key) 和 一 个 
公 钥 (cloud key Pub) 把 公 租 文件 内 容 粘贴 在 这 旦 


创建 一 个 实例 云 ， 你 使 用 密 钥 来 登 陆 实 例 (用 户 名 可 能 
桩 成 的 镜像 ) 


图 13.34 导入 密 钥 对 


在 “ 密 钥 对 名 称 ” 文 本 框 中 输入 密 钥 对 的 标识 ， 例 如 key2。 然 后 在 终端 窗口 中 执行 以 下 
命令 : 


[root@localhost ~]# SSH-keygen -t rsa -f cloud.key 
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以 上 命令 会 创建 一 个 名 称 为 cloud.key 的 私 钥 文件 以 及 名 称 为 cloud.key.pub 的 公 钥 文 件 。 
然后 使 用 以 下 命令 打开 公 钥 文件 : 


将 其 内 容 粘贴 到 图 13.34 中 的 “ 公 钥 ”文本 框 中 。 单 击 “ 导 入 密 钥 对 ”按钮 ， 完 成 密 钥 对 
的 创建 。 
切换 到 “网 络 ” 选 项 卡 ， 可 以 看 到 所 有 的 网 络 列表 ， 如 图 13.35 所 示 。 


已 选择 的 网 络 阴 过 按 控 钮 或 者 卸 搜 铬 吉林 在 造 笃 可 用 同 络 中 造 择 同 络 , 当 
约 也 可 以 参 过 摘要 狂 区 率 改 要 nic 的 顺 原 


13.35 ”可 用 网 络 列表 


单 击 要 使 用 的 网 络 右 下 角 的 国 按 钮 , 选中 该 网 络 , 完成 之 后 如 图 13.36 所 示 。 单 击 “ 运 行 ” 
按钮 ， 完 成 虚拟 机 的 创建 。 
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Dx 四 (图 YZ Yo '\ 国 


加 
oD 
转 
加 


图 13.36 选择 网 络 
此 时 ， 刚 刚 创 建 的 实例 webserver 已 经 出 现在 实例 列表 中 ， 并 且 已 经 为 其 分 配 了 一 个 地 址 
192.168.21.3。 单 击 实例 名 称 ， 打 开 云 主机 详情 窗口 。 切 换 到 “控制 台 ” 选 项 卡 ， 可 以 看 到 该 
虚拟 机 已 经 启动 ， 如 图 13.37 所 示 。 


云 主机 控制 台 


图 13.37 实例 控制 台 


实例 已 经 成 功 创建 ， 但 是 此 时 仍然 不 能 通过 SSH 访问 虚拟 机 ， 也 无 法 ping 通 该 虚拟 
要 是 因为 安全 组 规则 所 限 ， 所 以 需要 修改 其 中 的 规则 。 


尽 匀 


尽管 
这 主 


机 。3 
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选择 Compute 一 “访问 & 安 全 ”菜单 ， 窗 口 右 侧 列 出 了 所有 的 安全 组 ， 如 图 13.38 所 示 。 


Emel | 
CEA. ER CE CRC FTNM FEMGPTIC TEIC TE CT Col 
所 PC D58.64.138.219/dashboard/project/access and_security/ 立 记 天 三 
Bopenstak 局 = ES 
现 = 访问 8 安全 
Ee 3 
安 侍 担 主 儿 | 和 
概 : > 
安全 组 i 
2 日 二 Sie 动作 
二 目 。 eepw oefaut mn 
度 入 BF 


13.38 ”安全 组 列表 


由 于 前 面 在 创建 实例 时 使 用 了 default 安全 组 ， 因 此 单 击 对 应 行 中 的 “管理 规则 ”按钮 ， 
打开 “安全 组 规则 ”窗口 ， 如 图 13.39 所 示 。 


‘os (EER GEA LIVCITM FEMITCTD CTI ETA CIA CE 1 


€ GD 58.64.138.219/dashooard/project/access and security/securiy groups/cf2085d0-4788-499| 地 国 去 
EB openstac demo = dome 旺 =] 。 进出 
A 
下 = 管理 安全 组 规则 :default 
compurs 
到 安全 组 规则 ETT 
和 日。 方向 乱入 六 开 IP 协议 ”成 口交 国 过程 
EE 目 Xo pda icwp oooan(coR) 
i 目 出 D Ps6 人 (COR) 
2 日 A0 Pe 他人 ed 
让 加 内 全 | 
目 入 D Pw 任何 defeult 
网 络 
Fa 


目 出 0 任何 ooomicoR) 卫 
5 未 5 个 条目 


图 13.39 default 安全 组 规则 


单 击 “ 添 加 规则 ”按钮 ， 打 开 “ 添 加 规则 ”对 话 框 ， 如 图 13.40 所 示 。 在 “规则 ”下 拉 菜 
单 中 选择 “ALL ICMP” 选 项 ， 单 击 “ 添 加 ”按钮 将 该 项 规则 添加 到 列表 里 面 。 再 通过 相同 的 
步骤 将 SSH 规则 添加 进去 。 前 者 使 得 用 户 可 以 ping 通 虚 拟 机 , 后 者 可 以 使 得 用 户 通过 SSH 客 
户 端 连接 虚拟 机 。 
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WE 


让 58.64.138.219/dashboard/projec 


此 通过 朱 呈 可 以 访问 去 主机 安全 组 击 一 

要 纪 件 色 虑 

当 宝 尖 望 的 规 史 全 本 或 者 人 月 宝 介 所 
TcP 规 刚 ， 定 钊 UDP 坑 则 式 室 吉 CMP 


13.40 添加 规则 


为 了 能 够 使 外 部 网 络 中 的 主机 可 以 访问 虚拟 机 ， 还 需要 为 虚拟 机 绑 定 浮 动 IP。 在 实例 列 
表 中 ， 单 击 webserver 虚拟 机 所 在 行 最 右边 的 “更 多 ”按钮 ， 选 择 “ 绑 定 浮动 IP” 命 令 ， 打开 
“管理 浮动 IP 的 关联 ”对 话 框 ， 在 “IP 地 址 ”下 拉 菜 单 中 选择 一 个 外 部 网 络 的 IP 地址 ， 如 图 
13.41 所 示 。 单 击 “ 关 联 ” 按 钮 ， 完 成 卫 的 绑 定 。 


Ci “四 # 
58.64.138.219, 


Ec >) 
ro ‘@s 区 : “OD! ‘区 rc “ 力 i 
ashb roject/in: 园 = | 


主力 过 中 的 三 主 仆 过分 要 细 定 的 F 地 址 


图 13.41 绑 定 浮动 卫 


k 


及 | 如 果 下 地 址 下 拉 菜 单 中 没有 选项 ， 可 以 单 击 右 侧 的 “按钮 ， 添 加 浮动 IP。 | 


对 于 已 经 绑 定 浮动 IP 的 虚拟 机 来 说 ， 其 IP 地 址 会 有 两 个 ， 分 别 为 租户 网 络 的 IP 地 址 和 
外 部 网 络 地 址 。 在 本 例 中 ， 虚 拟 机 webserver 的 IP 地 址 分 别 为 192.168.21.3 和 172.24.4.229。 
然后 在 终端 窗口 中 输入 ping 命令 ， 以 验证 是 否 可 以 访问 虚拟 机 ， 如 下 所 示 : 
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从 上 面 的 命令 可 以 得 知 ， 外 部 网 络 中 的 主机 已 经 可 以 访问 虚拟 机 。 接 下 来 使 用 SSH 命令 
配合 密 钥 来 访问 虚拟 机 ， 如 下 所 示 : 


可 以 发 现 ， 上 面 的 命令 已 经 成 功 登录 虚拟 机 ， 并 且 出 现 了 虚拟 机 的 命令 提示 符 $ 符 号 。 下 
面 验证 虚拟 机 能 和 否 访问 互联 网 ， 输 入 以 下 命令 : 


可 以 发 现 ， 虚 拟 机 已 经 可 以 访问 互联 网 上 的 资源 。 

如 果 用 户 想 要 重新 启动 某 台 虚拟 机 ， 可 以 单 击 对 应 行 右 侧 的 “更 多 ”按钮 ， 选 择 “ 软 重启 
云 主机 ”或 者 “ 硬 重 启 云 主机 ”命令 来 实现 虚拟 机 的 重新 启动 。 

此 外 ， 用 户 还 可 以 删除 虚拟 机 、 创 建 快照 以 及 关闭 虚拟 机 。 这 些 操作 都 比较 简单 ， 不 再 详 
细 说 明 。 


13.6 / 


本 章 详 细 介 绍 了 在 CentOS 7.5 上 面 安 装 部 署 OpenStack 的 方法 ， 主 要 内 容 包括 OpenStack 
的 基础 知识 、OpenStack 的 体系 架构 、OpenStack 的 部 署 工具 、 使 用 RDO 部 署 OpenStack 以 及 
管理 OpenStack 等 ， 重 点 在 于 掌握 好 OpenStack 的 体系 架构 ， 使 用 RDO 部 署 OpenStack 的 方 
法 以 及 镜像 、 虚 拟 网 络 和 实例 的 管理 。 
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14 章 
配置 OpenNebula 云 平台 


OpenNebula 是 一 个 非常 成 熟 的 云 平台 ， 十 分 简单 ， 但 功能 十 分 丰富 。 它 提供 了 十 分 灵活 
的 解决 方案 ， 让 用 户 能 建立 并 管理 企业 云 和 虚拟 的 数据 中 心 。OpenNebula 的 设计 目标 是 简单 、 
轻便 、 灵 活 且 功 能 强大 ， 因 此 赢得 了 不 少 用 户 。 本 章 将 简要 介绍 OpenNebula 云 平台 及 其 使 用 


方法 。 
本 章 主要 涉及 的 知识 点 有 : 
。 云 简介 
e OpenNebula 概述 
e@ ”OpenNebula 安装 与 管理 


OpenNebula 概述 


OpenNebula 是 云 计 算 软件 中 的 代表 之 一 ， 轻 便 、 简 单 、 
但 在 国内 少 有 人 使 用 。 本 节 将 简要 介绍 云 计算 与 OpenNeb 


14.1.1 云 计算 概 述 


灵活 的 特点 为 其 赢得 了 不 少 客户 ， 
ula 等 知识 。 


云 计算 是 近年 来 兴起 的 新 技术 之 一 ， 有 许多 种 解释 , 还 没有 一 个 准确 的 定义 。 广 为 人 们 接 


受 的 是 美国 国家 标准 与 技术 研究 院 (National Institute of Standards and Technology，NIST) 的 


定义 : 云 计算 是 一 种 按 使 用 量 付费 的 模式 ， 这 种 模式 提供 便捷 、 可 用 和 按 需 求 的 网 络 访问 ， 进 


入 可 配置 的 计算 资源 共享 池 〈 资 源 包括 网 络 、 服 务 器 、 存 
被 快速 提供 ， 只 需 投 入 很 少 的 管理 工作 ， 或 与 服务 供应 商 


储 应 用 软件 及 服务 )， 这 些 资 源 能 够 
进行 很 少 的 交互 。 


及 元 | 美国 国家 标准 与 技术 研究 院 关于 云 计算 定义 的 翻译 来 源 于 网 络 ， 译 者 不 详 。 | 


云 计 算 有 许多 种 应 用 实例 和 模型 ， 本 书 并 不 涉及 , 这 号 
核心 、 以 计算 机 网 络 技术 为 基础 的 计算 模式 。 此 类 模式 为 企 


有 介绍 的 云 计 算 模型 均 是 以 虚拟 化 为 
> 业 提供 了 更 加 经 济 、 便 捷 的 管理 模 
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式 ， 广 泛 应 用 于 各 种 大 中 小 型 企业 中 。 

云 计 算是 将 原来 较为 分 散 的 计算 、 存 储 、 服 务 器 等 资源 ， 通 过 计算 机 网 络 和 云 计 算 软件 有 
效 地 整合 起 来 ， 从 而 形成 一 个 便于 管理 、 分 配 的 资源 库 。 当 新 客户 到 来 或 有 新 的 需求 时 , 管理 
员 仅 需要 从 资源 库 中 选择 合乎 要 求 的 各 类 资源 , 并 进行 重新 组 装 即 可 供 新 客户 使 用 。 同 时 在 原 
有 基础 上 还 实现 了 资源 细 化 及 按 需 配置 。 

简单 来 说 就 是 将 原 有 的 服务 器 计算 资源 、 网 络 (通过 Vlan 的 形式 )、 存 储 等 资源 通过 虚拟 
化 的 方式 , 重新 组 装 成 新 的 虚拟 计算 机 ， 从 而 实现 对 资源 的 精确 分 配 。 由 此 可 以 说 云 计算 是 传 
统 的 分 布 式 计算 、 网 络 存储 、 并 行 计算 、 虚 拟 化 、 负 载 均衡 、 效 用 计算 等 技术 与 网 络 技术 互相 
融合 的 产物 。 


14.1.2 OpenNebula 概述 


OpenNebula 是 专门 为 云 计算 打造 的 开源 系统 ， 用 户 可 以 使 用 Xen、KVM 甚至 是 VMware 
等 虚拟 化 软件 一 起 打造 企业 云 。 利 用 OpenNebula 可 以 轻松 地 构建 私有 云 、 混 合 云 及 公开 云 。 
OpenNebula 提供 的 接口 如 图 14.1 所 示 。 


OpenNebulo sol Sovice 


Cloud Consumers 


Appliance Builders 
~ 


ce 


OpenNebula 


Cloud Integrators 


a | 
ee CLI | @ 


* OCA (Ruby. Java Python; 


图 14.1 OpenNebula 提供 的 接口 


OpenNebula 提供 的 接口 比较 丰富 , 如 管理 员 提 供 了 包括 类 似 于 UNIX 命令 行 的 工具 集 CLI 
及 功能 强大 的 GUI 界面 ， 可 扩展 的 底层 接口 提供 了 XML-RPC、Ruby、Java 等 API 供用 户 整 
合 使 用 等 。 

OpenNebula 还 提供 了 许多 资源 管理 和 预 配置 目录 ， 使 用 这 些 目录 中 的 资源 ， 可 以 快速 、 
安全 地 构建 富有 弹性 的 云 平台 ， 资 源 目录 如 图 14.2 所 示 。 
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NETWORK CATALOG 
* Prvate Dev Net 

* Public Net 

» HPC InfiniBand 

* Private production 


IMAGE CATALOG 
”IMAGE CATALOG TEMPLATE CATALOG 


“| "| IMAGE CATALOG en Eosng 
"| 。 Ubuntu 1240 vanilla atabase componeni 


*。 Web server worker 


“|， Contextualized CentOS 


"| ， Virtual router Load balancer 
“|。 SGE front-end i 


图 14.2 OpenNebula 提供 的 资源 目录 


映像 目录 主要 包含 的 是 磁盘 映像 ; 网 络 目录 可 以 使 用 有 组 织 的 网 络 , 也 可 以 使 用 虚拟 网 络 
或 混合 网 络 ， 既 能 使 用 IPv4 也 能 使 用 IPv6; VM 模板 目录 同 VMware 虚拟 化 中 的 模板 相似 ， 
可 以 被 实例 化 为 虚拟 机 ; 除 此 之 外 ， 还 有 虚拟 资源 控制 及 监测 (主要 用 于 虚拟 机 迁移 、 停 止 、 
恢复 等 ) 等 。 

OpenNebula 的 工作 机 制 相对 比较 简单 ， 使 用 共享 的 存储 设备 来 为 虚拟 机 提供 各 种 存储 服 
务 , 以 便于 所 有 虚拟 机 都 能 访问 到 相同 的 资源 。 同时 ，OpenNebula 还 使 用 SSH 作为 传输 方式 ， 
将 虚拟 化 管理 命令 传输 至 各 节点 , 这 样 做 的 好 处 是 无 须 安装 额外 的 服务 或 软件 , 降低 了 软件 的 
复杂 性 。 


| 本 小 节 中 仅 介绍 了 与 配置 OpenNebula 相关 的 内 容 ， 其 他 相关 内 容 可 通过 查看 其 官方 网 站 
| 上 的 说 明了 解 ， 此 处 不 再 玖 述 。 


] 4.2 OpenNebula 安装 


OpenNebula 目前 的 新 版 本 为 4.12， 本 节 将 以 4.12 版 在 CentOS 7.5 上 安装 为 示例 ， 简 要 介 
绍 其 安装 过 程 。 
14.2.1 ”控制 端 环 境 配 置 


环境 配置 包括 IP 地 址 、DNS 地 址 、 主 机 名 及 hosts 文件 等 网 络 设置 ， 关 于 此 方面 设置 可 
参考 第 3 章 中 的 相关 章节 ， 此 处 不 再 缆 述 。 
(1) SELinux 配置 
SELinux 为 一 项 重要 的 配置 , OpenNebula 官方 建议 关闭 SELinux, 以 免 出 现 不 必要 的 错误 。 


376 


第 14 章 配置 OpenNebula 云 平 台 


关闭 SELinux 需要 修改 文件 /etc/sysconfig/selinux， 如 【示例 14-1】 所 示 。 
【示例 14-1】 


(2) 防火 墙 配置 
为 了 能 使 OpenNebula 正常 工作 ， 还 必须 配置 系统 防火 墙 开放 相关 端口 。 在 本 例 中 将 采取 


关闭 防火 墙 的 方法 ， 如 【示例 14-2】 所 示 。 
【示例 14-2】 


(3) 软件 源 配置 
OpenNebula 官方 提供 了 软件 源 (方便 安装 )， 直 接 在 系统 上 添加 软件 源 ， 然 后 使 用 yum 
工具 安装 即 可 。 新 建 一 个 名 为 opennebula.repo 的 文件 ， 如 【示例 14-3】 所 示 。 


【示例 14-3】 


到 此 ， 环 境 配置 就 完成 了 ， 接 下 来 可 以 重新 启动 CentOS 7.5 让 所 有 配置 生效 。 


14.2.2 ”控制 端 安装 
环境 配置 完成 后 就 可 以 开始 软件 安装 过 程 了 。 在 开始 安装 之 前 ， 还 需要 安装 EPEL 源 ， 
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EPEL 源 将 提供 一 些 额外 的 软件 包 。 安 装 过 程 如 【示例 14-4】 所 示 。 
【示例 14-4】 


确认 以 上 环境 和 软件 都 已 经 安装 完成 后 ， 还 需要 安装 依赖 软件 包 ， 如 【示例 14-5】 所 示 。 
【示例 14-5】 


安装 完成 后 ， 就 可 以 开始 安装 OpenNebula 了 ， 如 【示例 14-6】 所 示 。 
【示例 14-6】 
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安装 完成 后 还 需要 安装 Ruby 库 才 能 使 用 。OpenNebula 提供 了 一 个 集成 化 的 脚本 ,运行 此 
脚本 即 可 安装 ， 如 【示例 14-7】 所 示 。 


【示例 14-7】 
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许多 源 都 位 于 国外 ,执行 上 述 命令 安装 时 有 可 能 会 因 连 接 超 时 而 导致 整个 安装 失败 ， 此 时 
可 以 添加 国内 的 淘宝 源 ， 然 后 执行 上 述 命 令 。 添 加 淘宝 源 的 命令 如 【示例 14-8】 所 示 。 


【示例 14-8】 


在 安装 Ruby 库 的 过 程 中 ， 可 能 会 有 许多 警告 信息 ， 无 须 担 心 ， 忽 略 即 可 。 如 果 安装 某 个 


包 错误 导致 失败 ， 可 继续 运行 上 述 命令 重新 安装 ， 直 到 安装 结束 。 


14.2.3 ”客户 端 安 装 


OpenNebula 可 以 使 用 多 种 虚拟 化 技术 客户 端 , 如 KVM、Xen 甚至 是 Vmware。 在 本 例 中 ， 
将 采用 在 CentOS 7.5 中 安装 KVM 作为 客户 端 。CentOS 7.5 中 安装 KVM 的 方法 可 参考 本 书 的 
第 10 章 ， 此 处 不 再 更 述 。 

安装 完 KVM 之 后 就 可 以 开始 安装 OpenNebula 的 客户 端 程序 了 .客户 端 程序 依然 采用 yum 
工具 安装 ， 因 此 需要 按 14.2.1 小 节 中 的 方法 先 配置 yum 源 。 安 装 方法 如 【示例 14-9】 所 示 。 


【示例 14-9】 


如 果 使 用 Xen 虚拟 化 ， 除 以 上 安装 的 软件 包 外 ， 客 户 端 还 需要 安装 一 个 名 为 
openebula-common 的 软件 包 。 
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14.2.4 配置 控制 端 和 客户 端 


所 有 软件 安装 完成 后 还 不 能 立即 使 用 ， 还 需要 做 一 些 配置 ， 包 括 密码 、SSH 验证 等 方面 。 
本 小 节 将 简要 介绍 如 何 配置 控制 端 和 客户 端 。 


1. 控制 端 主 守护 进程 配置 


控制 端 有 两 个 守护 进程 需要 配置 ， 一 个 是 oned， 这 是 OpenNebula 的 主要 进程 ， 所 有 主要 
功能 都 通过 此 进程 完成 ; 另 一 个 称 为 sunstone, 这 是 一 个 图 形 化 的 用 户 接口 。 启 动 OpenNebula 
需要 启动 这 两 个 进程 ， 首 先 需 要 配置 的 是 主 守护 进程 。 

安装 完 控制 端 后 ，OpenNebula 会 向 系统 添加 一 个 名 为 oneadmin 的 用 户 ，OpenNebula 将 
以 此 用 户 的 身份 管理 整个 软件 。 首 先 需要 添加 系统 认证 的 密码 ， 如 【示例 14-10】 所 示 。 


【示例 14-10】 


在 上 面 的 示例 中 需要 使 用 密码 替换 password 字符 串 ， 此 处 设置 的 密码 为 第 一 次 启动 的 密码 。 
2. 图 形 化 用 户 接口 配置 


图 形 化 用 户 接 口 进 程 为 sunstone， 默 认 情 况 下 该 进程 只 在 本 地 环 回 接口 〈 接 口 名 为 lo，IP 
地 址 为 127.0.0.1) 侦 听 ， 其 他 计算 机 均 无 法 访问 。 为 了 能 使 其 他 计算 机 都 能 访问 ， 需 要 修改 侦 
听 地 址 ， 如 【示例 14-11】 所 示 。 


【示例 14-11】 
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完成 上 述 步骤 后 就 可 以 通过 网 页 打开 Sunstone 了 ， 如 图 14.3 所 示 。 


los | 
| OpenNebule Sunstone x 
¢ 3 GTD1721645229869 ms 


OpenNebula 


Sunstone 


Username 


Password 


Dpenliehula 4. 12. 1 by OperNebula Systeas. 


14.3 Sunstone 界面 


访问 Sunstone 时 需要 注意 ， 不 建议 使 用 IE 内 核 的 浏览 器 ， 建 议 使 用 Mozilla Firefox 或 
Google Chrome 等 非 IE 内 核 浏览 器 ; 另 一 个 问题 是 控制 端 与 访问 计算 机 的 时 间 相 差 不 能 太 大 ， 
否则 会 导致 失败 。 


3. 配置 NFS 


如 果 使 用 多 节点 的 OpenNebula， 需 要 在 控制 端 上 配置 NFS (控制 端 与 客户 端 位 于 同一 服 
务 器 时 无 须 此 配置 )， 如 【示例 14-12】 所 示 。 
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【示例 14-12】 


当 控 制 端 配置 了 NFS 之后， 客户 端 还 需要 配置 NFS 挂 载 (NFS 共享 的 目录 相当 于 存储 ， 
关于 此 问题 可 参考 官方 网 站 关于 存储 的 说 明 )。 挂 载 应 该 写 入 文件 /etc/fstab， 写 入 内 容 如 下 所 
示 : 


4. 配置 SSH 公 钥 


OpenNebula 使 用 SSH 远程 登录 到 Node 上 ， 然 后 执行 各 种 管理 命令 ， 因 此 必须 配置 SSH 
服务 ， 让 管理 端的 oneadmin 用 户 能 够 自动 登录 ， 而 不 需要 密码 。 控 制 端 配 置 如 【示例 14-13】 
所 示 。 


【示例 14-13】 
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证 类 员 无论 哺 种 方 宁都 需要 配置 SSH， 即 使 控制 端 与 客户 端 在 同一 服务 器 上 。 同 时 ， 建 议 将 控 
制 端 也 做 成 一 个 客户 端 ， 以 便 配 置 和 安装 镜像 。 
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5. 客户 端 KVM 配置 


在 客户 端 上 安装 KVM 并 设置 桥接 等 内 容 可 参考 第 10 章 的 相关 内 容 ， 此 处 不 再 歼 述 。 此 
处 还 需要 对 KVM 做 一 些 配 置 ， 如 【示例 14-14】 所 示 。 


【示例 14-14】 


CentOS 7.5 系 儿 


至 此 ， 服 务 端 和 客户 端 都 已 经 配置 完成 了 。 


] 4.3 OpenNebula 配置 与 应 用 


学 习 了 OpenNebula 的 安装 之 后 , 接 下 就 可 以 配置 OpenNebula 了 , 内 容 包括 配置 Sunstone、 
VDC 和 集群 , 设置 映像 、 模 板 管理 、 虚拟 机 管理 等 。 与 第 10 章 中 介绍 的 oVirt 相 比 , OpenNebula 
还 有 大 量 的 工作 需要 做 , 这 些 工作 主要 来 自 映像 、 模 板 和 虚拟 机 管理 。 本 节 将 简要 介绍 如 何 将 
安装 好 的 OpenNebula 组 装 为 一 个 可 用 的 集群 ， 并 添加 一 些 映像 、 模 板 , 最 后 实例 化 为 虚拟 机 。 


14.3.1 配置 VDC 和 集群 


首次 登录 Sunstone 之 后 ， 可 以 发 现 其 默认 语言 为 英语 ， 可 以 修改 为 简体 中 文 。 修 改 的 方 
法 为 先 单 击 右上 角 当 前 登录 的 用 户 名 ， 然 后 在 菜单 中 选择 “Settings”。 在 弹出 的 配置 界面 右上 
角 单 击 “Conf”， 如 图 14.4 所 示 。 


Configuration 
和 全 三 三 
Ifo Conf Quous 。 Accounting 。 Showback 


Language: 
Simplified Chinese (zh_CN) ba 


Vicws: 
admin 


Default Table order: 
dcsccnding 


14.4 Sunstone 语言 配置 
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在 “Language” 下 拉 列 表 框 中 选择 “Simplified Chinese(zh_CN)”, 然后 单 击 “Update config” 
按钮 即 可 将 默认 语言 修改 为 简体 中 文 。 

VDC (Virtual Data Centers， 虚 拟 数据 中 心 ) 与 oVirt 中 的 数据 中 心 概念 相似 ， 表 示 一 组 或 
多 组 功能 集群 的 集合 。 但 在 OpenNebula 中 数据 中 心 和 集群 的 概念 相对 较 弱 ， 几 乎 没有 过 多 的 
约束 设置 ， 只 有 在 做 故障 迁移 等 设置 时 这 些 设 置 才 起 作用 。 如 果 没 有 故障 迁移 等 方面 的 需求 ， 
也 可 跳 过 虚拟 数据 中 心 和 集群 设置 。 

添加 VDC 时 ， 可 以 在 Sunstone 界面 左 侧 的 系统 设置 中 选择 “VDCs”， 此 时 右 侧 将 显示 已 
存在 的 虚拟 数据 中 心 。 单 击 虚拟 数据 中 心 列表 上 方 的 加 号 ， 将 弹出 添加 VDC 界面 ， 如 图 14.5 
所 示 。 


Bo 本 cpe 
OpenNebula Create Virtual Data Center 

el | 向 9 | 训 
而 二 

Mea 总 | we | 吕 

群 组 各 理 

| vecs 名 本目 

| 
和 恒 | 泡 淹 换 述 时 

天 

于 应 mi 声 
加 oncrlow 自 定义 属性 

添加 
吉 称 全 


14.5 添加 VDC 


在 创建 VDC 界面 的 “常规 ”选项 中 输入 数据 中 心 的 名 称 、 描 述 信息 ， 然 后 在 “资源 ”中 
为 数据 中 心 添加 已 存在 的 集群 、 主 机 、 网 络 和 数据 仓库 ， 最 后 单 击 上 面 的 “创建 ”按钮 即 可 。 
需要 注意 的 是 , 数据 仓库 已 经 在 安装 时 自动 创建 , 此 处 可 以 直接 选择 所 有 数据 仓库 将 其 一 并 添 
加 到 数据 中 心中 。 

添加 完 VDC 后 ， 接 下 来 需要 创建 集群 。 单 击 左 侧 基础 设施 中 的 集群 管理 ， 界 面 右 侧 将 显示 
当前 系统 中 的 集群 列表 。 单 击 集群 列表 上 方 的 加 号 将 弹出 “创建 集群 ”界面 ， 如 图 14.6 所 示 。 

在 “名 称 ” 中 输入 集群 名 称 ， 然 后 在 “主机 管理 ”中 选中 主机 ， 在 “虚拟 网 络 ” 中 选择 添 
加 的 网 络 ， 然 后 选择 “数据 仓库 ” 最 后 单 击 “创建 ” 按 钮 即 可 。 

添加 完 集 群 和 数据 中 心 后 , 可 以 在 数据 中 心 界面 中 的 数据 中 心 列表 中 单 击 创建 的 数据 中 心 
查看 数据 中 心 详情 。 在 数据 中 心 详情 界面 右上 角 单 击 更 新 , 然后 在 资源 选项 的 集群 管理 中 为 数 
据 中 心 添加 集群 ， 也 可 以 更 新 数据 仓库 等 设置 ， 集 群 也 可 使 用 同样 的 方法 更 新 设置 。 


OpenNebula 还 预 设 了 各 种 角色 和 用 户 ， 同 时 还 提供 了 计 费 等 功能 ， 本 书 中 并 不 涉及 ， 读 
I 者 可 自行 参考 相关 资料 了 解 。 
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创建 集群 
名 各 a © 所 
[manaused 主机 管理 。 上 0 数据 人 括 
ID， 名 区 闫 ” 产 "% 必 ecru em 类 
0 es Wm 


请 从 列 瑟 中 这 至 一 个 或 者 名 个 主机 


图 14.6 创建 集群 


14.3.2 添加 KVM 主机 


主机 是 云 计 算 中 的 计算 节点 。 通 俗 地 讲 ， 主 机 主要 是 将 存储 资源 、 网 络 资源 集中 起 来 ， 并 
使 用 自身 的 计算 资源 以 虚拟 机 的 方式 汇集 各 种 资源 为 客户 提供 服务 。OpenNebula 中 可 以 添加 
的 主机 有 Xen、KVM、VMware 及 vCenter， 由 于 红 帽 公司 主导 使 用 KVM 虚拟 化 ， 因 此 本 书 
中 主要 介绍 KVM 主机 的 使 用 方法 ， 其 他 主机 并 不 涉及 ， 如 需 使 用 ， 可 以 参考 OpenNebula 的 
官方 文档 了 解 。 

添加 KVM 主机 有 两 种 方法 ， 其 一 是 使 用 Sunstone 提供 的 图 形 化 接口 ， 其 二 是 使 用 CLI 
命令 方式 添加 。 在 添加 主机 之 前 ， 需 要 确保 主机 的 SELinux、 防 火 墙 、 SSH、KVM、NFS 等 
均 已 正确 设置 ， 具 体 设置 细节 可 参考 14.2 节 中 的 相关 内 容 了 解 ， 此 处 不 再 赣 述 。 


1. 在 Sunstone 中 添加 主机 


在 Sunstone 界面 的 左 侧 基 础 设施 中 选择 主机 管理 ， 此 时 右 侧 将 显示 主机 列表 。 单 击 主机 
列表 上 方 的 加 号 ， 将 弹出 “创建 主机 ”界面 ， 如 图 14.7 所 示 。 


创建 主机 


类 型 集群 
KVM ” 100: mainCluster 


主机 名 [3 
172.16.45.23 拷 省 值 (dummy) 


图 14.7 “创建 主机 ”界面 
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创建 集群 
名 各 a © 所 
[manaused 主机 管理 。 上 0 数据 人 括 
ID， 名 区 闫 ” 产 "% 必 ecru em 类 
0 es Wm 


请 从 列 瑟 中 这 至 一 个 或 者 名 个 主机 


图 14.6 创建 集群 


14.3.2 添加 KVM 主机 


主机 是 云 计 算 中 的 计算 节点 。 通 俗 地 讲 ， 主 机 主要 是 将 存储 资源 、 网 络 资源 集中 起 来 ， 并 
使 用 自身 的 计算 资源 以 虚拟 机 的 方式 汇集 各 种 资源 为 客户 提供 服务 。OpenNebula 中 可 以 添加 
的 主机 有 Xen、KVM、VMware 及 vCenter， 由 于 红 帽 公司 主导 使 用 KVM 虚拟 化 ， 因 此 本 书 
中 主要 介绍 KVM 主机 的 使 用 方法 ， 其 他 主机 并 不 涉及 ， 如 需 使 用 ， 可 以 参考 OpenNebula 的 
官方 文档 了 解 。 

添加 KVM 主机 有 两 种 方法 ， 其 一 是 使 用 Sunstone 提供 的 图 形 化 接口 ， 其 二 是 使 用 CLI 
命令 方式 添加 。 在 添加 主机 之 前 ， 需 要 确保 主机 的 SELinux、 防 火 墙 、 SSH、KVM、NFS 等 
均 已 正确 设置 ， 具 体 设置 细节 可 参考 14.2 节 中 的 相关 内 容 了 解 ， 此 处 不 再 赣 述 。 


1. 在 Sunstone 中 添加 主机 


在 Sunstone 界面 的 左 侧 基 础 设施 中 选择 主机 管理 ， 此 时 右 侧 将 显示 主机 列表 。 单 击 主机 
列表 上 方 的 加 号 ， 将 弹出 “创建 主机 ”界面 ， 如 图 14.7 所 示 。 


创建 主机 


类 型 集群 
KVM ” 100: mainCluster 


主机 名 [3 
172.16.45.23 拷 省 值 (dummy) 


图 14.7 “创建 主机 ”界面 
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在 “创建 主机 ”界面 中 选择 正确 的 类 型 ， 选 择 主机 所 属 的 集群 和 网 络 〈 此 处 网 络 设置 选择 
默认 )， 并 在 主机 名 中 填 入 主机 的 IP 地 址 或 主机 名 ,最 后 单 击 “ 创 建 ” 按 钮 即 可 。 需 要 注意 的 
是 ， 如 果 使 用 主机 名 ， 一 定 要 确保 能 正确 解析 ， 否 则 添加 主机 可 能 会 失败 。 

主机 添加 完成 后 ， 就 可 以 在 主机 列表 中 看 到 该 主机 了 ， 如 图 14.8 所 示 。 


但 ”主机 管理 
运 择 蘑 群 El 集 用 图 
生计 运行 VM 数量 。 已 分配 CPU 已 分 配 内 下 关 太 
172164523 maincluster 0 on oe 化 
1007400 G5%) 512M8/37c8(1ew) 开胃 
Showing 1 102 62 enes Previous 1 Nex 


1 1 0 0 


图 14.8 主机 列表 
可 以 看 到 新 添加 的 主机 状态 为 “初始 化 ” 当主 机 初始 化 完成 后 ， 状 态 将 变 为 “开机 ” 表 
示 主 机 可 用 ， 和 否则 主机 将 不 可 用 ， 需 要 查看 日 志 排 错 。 
在 主机 列表 中 单 击 任意 一 台 主机 ， 将 显示 主机 信息 ， 如 图 14.9 所 示 。 
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加 
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寻 
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14.9 主机 信息 


在 主机 信息 界面 的 信息 选项 中 可 以 查看 到 当前 主机 的 主要 信息 ， 如 已 分 配 CPU、 内 存 、 
CPU 型 号 等 。 在 图 表 信息 中 将 显示 过 去 一 段 时 间 内 CPU 和 内 存 的 使 用 情况 ，vm 数量 将 显示 
当前 主机 运行 的 主机 列表 。 


2. 使 用 CLI 方式 添加 
使 用 CLI 方式 添 加 主机 与 图 形 界面 所 需 参数 相同 ， 添 加 过 程 如 【示例 14-15】 所 示 。 
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【示例 14-15】 


14.3.3 ”建立 映像 


OpenNebula 安装 完成 后 建立 虚拟 时 ， 需 要 使 用 操作 系统 模板 ， 模 板 可 以 快速 转换 为 虚拟 
机 , 而 不 再 需要 安装 操作 系统 ,建立 系统 模板 需要 使 用 磁盘 映像 , 磁盘 映像 就 是 虚拟 磁盘 文件 。 
OpenNebula 提供 了 两 种 方法 建立 映像 ， 其 一 是 使 用 官方 提供 的 映像 和 模板 ， 其 二 是 用 户 自 己 
建立 磁盘 文件 安装 系统 制作 映像 。 


1. 使 用 官方 映像 和 模板 


使 用 官方 提供 的 映像 和 模板 可 以 在 Sunstone 界面 的 左 侧 选 择 应 用 市 场 ， 此 时 右 侧 将 显示 
官方 提供 的 映像 列表 ， 如 图 14.10 所 示 。 
OpenNebula 市 场 


8 


Blank Template -vdc 
Upunmu Server 1210 v2- vde 
Peppermint 4 Desktop - vde 


Dc gridge Direct cloud stave Appllance 


2 


图 14.10 OpenNebula 市 场 


映像 列表 中 详细 列举 了 系统 名 称 和 版 本 、 发 布 人 、 客 户 端 类 型 、 处 理 器 架构 及 虚拟 磁盘 映 
像 使 用 的 格式 等 。 如 果 需 要 查看 某 个 映像 的 详细 信息 ， 只 需要 单 击 映像 ， 将 显示 映像 的 详细 描 
述 。 在 映像 列表 中 勾 选 需要 使 用 的 映像 ， 然 后 单 击 右上 角 的 导入 按钮 ， 将 弹出 导入 应 用 界面 ， 
如 图 14.11 所 示 。 
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导入 应 用 


以 下 映像 择 在 系统 中 创建 如 果 你 想 修 改 辜 盘 映 像 的 参数 ， 随 后 可 以 在 焉 各 映像 选项 卡 
中 候 惧 


下 面 的 模板 将 被 创建 在 OpcnNcbula, 以 前 的 决 伪 将 在 磁 音 中 引用 如 果 你 想 修 改 状 板 
的 多 数 ， 随 后 可 以 在 模板 选 两 卡 中 修改 


模 帆 名 竹 
Cenros 6.5- KYM 


图 14.11 导入 应 用 


在 “导入 应 用 ”窗口 中 选择 数据 仓库 ， 填 入 映像 名 称 、 模 板 名 称 ， 然 后 单 击 “ 导 入 ”按钮 
即 可 。 之 后 在 左 侧 虚拟 资源 中 的 映像 管理 和 模板 管理 中 , 可 以 看 到 导入 的 应 用 ,但 在 下 载 完成 
前 映像 和 模板 无 法 使 用 。 

使 用 导入 应 用 的 方式 创建 模板 十 分 方便 、 快 捷 , 但 如 果 网 络 不 通畅 (下 载 地 址 为 国外 地 址 )， 
导致 超时 ， 将 会 添加 失败 。 


2. 自制 映像 


磁盘 映像 有 多 种 格式 ， 如 raw、qcow2、qed、vmdk、vdi 等 。 这 些 格式 拥有 不 同 的 特性 ， 
读者 可 阅读 相关 文档 了 解 这 些 格式 的 特点 。 在 本 例 中 , 将 采用 KVM 默认 使 用 的 qcow2 作为 映 
像 格 式 ， 建 立 映像 过 程 如 【示例 14-16】 所 示 。 


【示例 14-16】 
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# 创 建 虚拟 机 并 为 虚拟 机 指定 磁盘 和 光驱 

# 参 数 m 指定 创建 内 存 为 1024MB 

# 参 数 -boot d 表 示 使 用 光驱 引导 

# 人 参数 -nographic -vnc :0 表示 使 用 VNC 远程 访问 控制 台 

# 网 卡 参数 也 可 不 设 

[root@mal datal# /usr/libexec/gqemu-kvm -m 1024 \ 

> -cdrom /data/CentOS-6.5-x86 64-bin-DVD1.iso \ 

> -drive file=/data/CentOS6.5-x86_ 64-Desktop.qcow2,if=virtio \ 

> -net nic,model=virtio -net tap,script=no -boot d -nographic -vnc :0 


执行 上 述 命令 后 ， 使 用 VNC Viewer 在 服务 器 地 址 中 输入 “172.16.45.22: 5900”， 远程 连 


接 到 虚拟 机 ， 如 图 14.12 所 示 。 


区 ew ET 一 


图 14.12 VNC 远程 连接 虚拟 机 控制 台 


在 虚拟 机 的 控制 台中 将 系统 安装 完成 并 做 相应 的 设置 后 , 在 控制 台中 关闭 系统 , 这 样 就 会 


得 到 一 个 安装 了 系统 的 虚拟 磁盘 。 


接 下 来 需要 将 虚拟 磁盘 导入 OpenNebula， 可 以 使 用 两 种 方法 导入 映像 : 其 一 是 使 用 CLI 


命令 方式 ; 其 二 是 在 Sunstone 中 导入 映像 。 无 论 使 用 哪 种 方式 导入 映像 ,都 需要 保证 oneadmin 
用 户 能 读 取 映 像 文件 ， 和 否则 导入 将 失败 。 使 用 CLI 命令 方式 导入 过 程 如 【示例 14-17】 所 示 。 
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【示例 14-17】 


# 以 下 命令 在 控制 端 执行 
# 首 先 查 看 权限 
[root@mal data]# 11 CentOS6.5-x86_ 64-Desktop.qcow2 
-rw-r--r-- 1 root root 4236247040 Jul 7 11:02 Cent0S6.5-x86_64-Desktop.qcow2 
# 切 换 用 户 到 oneadmin 并 查看 系统 中 的 映像 列表 
[root@mal datal# su - oneadmin 
[oneadmin@mal ~]$ oneimage list 
ID USER GROUP NAME DATASTORE SIZE TYPE PER STAT RVMS 
0 oneadmin oneadmin CentOS6.5-x86 6 default 15G OS No used 2 
# 编 辑 导 入 文件 ， 内 容 如 下 所 示 


[oneadmin@mal ~]$ cat centos.one 
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# 创 建 虚拟 机 并 为 虚拟 机 指定 磁盘 和 光驱 

# 参 数 m 指定 创建 内 存 为 1024MB 

# 参 数 -boot d 表 示 使 用 光驱 引导 

# 人 参数 -nographic -vnc :0 表示 使 用 VNC 远程 访问 控制 台 

# 网 卡 参数 也 可 不 设 

[root@mal datal# /usr/libexec/gqemu-kvm -m 1024 \ 

> -cdrom /data/CentOS-6.5-x86 64-bin-DVD1.iso \ 

> -drive file=/data/CentOS6.5-x86_ 64-Desktop.qcow2,if=virtio \ 

> -net nic,model=virtio -net tap,script=no -boot d -nographic -vnc :0 


执行 上 述 命令 后 ， 使 用 VNC Viewer 在 服务 器 地 址 中 输入 “172.16.45.22: 5900”， 远程 连 


接 到 虚拟 机 ， 如 图 14.12 所 示 。 


区 ew ET 一 


图 14.12 VNC 远程 连接 虚拟 机 控制 台 


在 虚拟 机 的 控制 台中 将 系统 安装 完成 并 做 相应 的 设置 后 , 在 控制 台中 关闭 系统 , 这 样 就 会 


得 到 一 个 安装 了 系统 的 虚拟 磁盘 。 


接 下 来 需要 将 虚拟 磁盘 导入 OpenNebula， 可 以 使 用 两 种 方法 导入 映像 : 其 一 是 使 用 CLI 


命令 方式 ; 其 二 是 在 Sunstone 中 导入 映像 。 无 论 使 用 哪 种 方式 导入 映像 ,都 需要 保证 oneadmin 
用 户 能 读 取 映 像 文件 ， 和 否则 导入 将 失败 。 使 用 CLI 命令 方式 导入 过 程 如 【示例 14-17】 所 示 。 
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【示例 14-17】 


# 以 下 命令 在 控制 端 执行 
# 首 先 查 看 权限 
[root@mal data]# 11 CentOS6.5-x86_ 64-Desktop.qcow2 
-rw-r--r-- 1 root root 4236247040 Jul 7 11:02 Cent0S6.5-x86_64-Desktop.qcow2 
# 切 换 用 户 到 oneadmin 并 查看 系统 中 的 映像 列表 
[root@mal datal# su - oneadmin 
[oneadmin@mal ~]$ oneimage list 
ID USER GROUP NAME DATASTORE SIZE TYPE PER STAT RVMS 
0 oneadmin oneadmin CentOS6.5-x86 6 default 15G OS No used 2 
# 编 辑 导 入 文件 ， 内 容 如 下 所 示 


[oneadmin@mal ~]$ cat centos.one 
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在 Sunstone 中 添加 映像 ， 需 要 在 左 侧 选中 虚拟 资源 中 的 映像 管理 ， 在 右 侧 窗 口中 将 显示 
当前 的 映像 列表 ， 单 击 列 表 上 方 的 加 号 弹出 创建 映像 窗口 ， 如 图 14.13 所 示 。 
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14.13 ”创建 映像 窗口 


393 


CentOS 7.5 系统 管理 与 运 维 实战 


在 创建 硬盘 映像 窗口 中 输入 名 称 、 描 述 , 选择 数据 仓库 并 在 路 径 中 输入 映像 位 置 ， 在 高 级 
选项 中 的 驱动 程序 中 输入 qcow2， 最 后 单 击 “ 创 建 ” 按 钮 即 可 添加 新 映像 。 与 使 用 CLI 方式 
相同 ， 新 添加 的 映像 在 列表 中 的 状态 为 锁定 ， 当 导入 成 功 后 状态 将 变 为 就 绪 。 

14.3.4 添加 虚拟 网 络 和 模板 


当 映 像 导 入 成 功 之 后 ， 还 需要 创建 虚拟 网 络 才能 添加 模板 ， 最 后 在 模板 的 基础 上 创建 
虚拟 机 。 


1. 添加 虚拟 网 络 


在 Sunstone 左 侧 的 基础 设施 中 选择 虚拟 网 络 ， 此 时 右 侧 将 显示 虚拟 网 络 列表 ， 单 击 列表 
上 方 的 加 号 ， 将 显示 创建 虚拟 网 络 页 面 ， 如 图 14.14 所 示 。 


图 14.14 创建 虚拟 网 络 


在 “常规 ”选项 中 输入 虚拟 网 络 的 名 称 ， 然 后 在 “配置 ”选项 中 输入 网 桥 和 网 络 模式 ， 在 
本 例 中 输入 网 桥 为 “br0”， 即 桥接 网 络 ， 网 络 模式 保持 默认 。OpenNebula 也 支持 802.1q 协议 
的 多 Vlan 中 继 ， 因 此 此 处 需要 按 实际 情况 选择 。 接 下 来 需要 在 “地 址 ”选项 中 输入 IP 起 始 地 
址 和 大 小 〈 地 址 数量 )， 最 后 单 击 “ 创 建 ”按钮 ， 即 可 创建 虚拟 网 络 。 


2. 创建 模板 


在 Sunstone 界面 的 左 侧 选择 虚拟 资源 中 的 模板 管理 ， 此 时 右 侧 将 显示 当前 已 存在 的 模板 
列表 ， 单 击 列 表 上 方 的 加 号 将 显示 创建 模板 页 面 ， 如 图 14.15 所 示 。 

在 “常规 ”选项 的 名 称 中 输入 模板 名 称 ， 在 Hypervisor 中 选择 节点 类 型 ， 此 处 选择 KVM， 
在 Logo 中 可 以 为 模板 选择 一 个 图 标 ， 并 选择 合适 的 内 存 和 CPU 数量 ;在 “存储 ”选项 中 为 
模板 选择 磁盘 映像 ， 在 “网 络 ”选项 中 为 模板 选择 虚拟 网 络 ， 在 “输入 /输出 ”选项 中 选择 控 
制 台 设备 ， 最 后 在 “调度 ”中 选择 运行 模板 的 主机 或 集群 ， 单 击 “ 创 建 ” 按 钮 即 可 。 在 本 例 中 ， 
图 形 界面 选择 VNC， 在 监听 IP 中 输入 “0.0.0.0”， 并 设置 访问 密码 。 
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图 14.15 ”创建 模板 页 面 


14.3.5 ”创建 并 访问 虚拟 机 


创建 虚拟 机 模板 之 后 就 可 以 将 模板 实例 化 为 虚拟 机 ， 并 运行 虚拟 机 。 创 建 虚拟 机 可 以 在 
Sunstone 界面 左 侧 的 虚拟 资源 中 选择 虚拟 机 管理 ,此 时 右 侧 将 显示 虚拟 机 列表 。 在 列表 上 方 单 


击 加 号 ， 将 弹出 创建 虚拟 机 页 面 ， 如 图 14.16 所 示 。 


创建 虚拟 机 


于 一 ， 制定 一 个 各 称 ， 以 及 实 全 二 


ws © 
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CE 


14.16 创建 虚拟 机 


在 步骤 一 的 “VM 名 称 ” 中 输入 虚拟 机 名 , 然后 在 步骤 二 中 选择 一 个 模板 , 再 单 击 “ 创 建 ” 
按钮 ， 就 完成 虚拟 机 创建 了 。 创 建 完 虚拟 机 之 后 ， 可 以 在 虚拟 机 管理 中 查看 刚 创建 的 虚拟 机 。 
刚 创 建 的 虚拟 机 不 能 立即 访问 , 还 需要 等 待 系统 分 配 资源 , 当 资 源 分 配 完成 后 可 以 在 状态 中 看 
到 虚拟 机 处 于 运行 状态 ,此 时 就 可 以 访问 了 。 如 果 状 态 为 错误 或 其 他 非 正 常 的 状态 , 可 以 在 列 
表 中 单 击 虚拟 机 ， 在 虚拟 机 详细 信息 中 选择 “日 志 ”， 查 看 错误 原因 并 排除 错误 。 

当 虚 拟 机 处 于 运行 状态 时 ， 可 通过 VNC 客户 端 进行 访问 ,访问 端口 可 通过 虚拟 机 详细 信 
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息 中 的 模板 中 查看 (GRAPHICS 信息 )。 另 一 个 访问 虚拟 机 的 方法 是 在 虚拟 机 列表 中 ， 运行 的 
虚拟 机 后 有 一 个 显示 器 图 标 ， 单 击 此 图 标 将 在 网 页 中 显示 控制 台 ， 如 图 14.17 所 示 。 


[e) n e Sond GHANDal 


Certos release 6.5 (Final) 


CE 


图 14.17 网 页 访问 虚拟 机 控制 台 


OpenNebula 中 虚拟 机 还 有 许多 操作 ， 读 者 可 通过 阅读 其 官方 网 站 的 相关 说 明了 解 详情 并 
进一步 使 用 。 


小 结 
OpenNebula 是 一 个 功能 十 分 强大 而 又 简单 的 开源 云 计算 平台 ， 虽 然 目 前 国内 使 用 的 人 较 


少 ， 但 可 以 预见 在 不 久 的 将 来 将 会 有 大 量 的 用 户 。 本 章 除了 介绍 OpenNebula 的 基本 情况 外 ， 
还 介绍 了 OpenNebula 在 CentOS 7.5 中 的 安装 和 配置 等 内 容 。 
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Linux 操作 和 Windows 操作 有 很 大 的 不 同 。 要 熟练 地 使 用 Linux 系统 ， 首 先 要 了 解 Linux 
系统 的 目录 结构 , 并 且 掌 握 常 用 的 命令 , 以 便 进行 文件 操作 、 信 息 查 看 和 系统 参数 配置 等 操作 。 
本 附录 通过 示例 的 方式 演示 Linux 的 一 些 常用 命令 , 与 运 维 相关 的 高 级 命令 已 在 本 书 的 正文 中 
详细 介绍 。 


入 .| 文件 管理 


文件 是 Linux 的 基本 组 成 部 分 ， 文件 管理 包括 文件 的 复制 、 删 除 、 修 改 等 操作 。 本 节 主 要 
介绍 Linux 中 文件 管理 相关 的 命令 。 


A.1.1 复制 文件 cp 


cp 命令 用 来 复制 文件 或 目录 。 当 复制 多 个 文件 时 ， 目 标 文件 参数 必须 为 已 经 存在 的 目录 。 
cp 命令 默认 不 能 复制 目录 , 复制 目录 必须 使 用 -R 选项 。cp 命令 具备 了 In 命令 的 功能 。 语法 为 : 
cp [选项 ] [参数 ]。 


【示例 A-1】 
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〖 附录 ALinux 常用 命令 示例 


cp 可 以 复制 一 个 或 多 个 文件 ， 当 复制 多 个 文件 时 ， 最 后 一 个 参数 必须 为 已 经 存在 的 目录 ， 
和 否则 会 提示 错误 。 如 果 忽 略 提示 信息 ， 则 可 以 使 用 “-f” 选项 。 


存在 ， 用 cp 命令 复制 文件 后 ,这 个 文件 就 会 被 覆盖 ，“i” 选 项 可 以 在 覆盖 之 前 询问 用 户 。 


A.1.2 ”移动 文件 mv 


用 户 可 以 使 用 mv 命令 来 移动 文件 或 目录 至 另 一 个 文件 或 目录 , 还 可 以 将 目录 或 文件 重 命 
名 。mv 只 接收 两 个 参数 , 第 1 个 为 要 移动 或 重 命名 的 文件 或 目录 , 第 2 个 为 新 文件 名 或 目录 。 
当 mv 接收 两 个 参数 或 多 个 参数 时 ， 如 果 最 后 一 个 参数 对 应 的 是 目录 而 且 该 目录 存在 ，mv 会 
将 各 参数 指定 的 文件 或 目录 移动 到 此 目录 中 ， 如 果 目 的 文件 存在 时 ， 将 会 进行 覆盖 。 


【示例 A-2】 
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为 避免 误 覆 盖 文 件 ， 建 议 使 用 mv 命令 移动 文件 时 ， 最 好 使 用 “-i” 选 项 。 


A.1.3 创建 文件 或 修改 文件 时 间 touch 


Linux 中 的 touch 命令 可 以 改变 文档 或 目录 时 间 ， 包 括 存 取 时 间 和 更 改 时 间 ， 也 可 以 用 于 
创建 新 文件 。 


【示例 A-3】 
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A.1.4 删除 文件 rm 


用 户 可 以 用 rm 命令 删除 不 需要 的 文件 。rm 可 以 删除 文件 或 目录 ,并 且 支 持 通配符 , 若 目 
录 中 存在 其 他 文件 则 会 递归 删除 。 删 除 软 链接 只 是 删除 链接 ， 对 应 的 文件 或 目录 不 会 被 删除 ， 
软 链接 类 似 Windows 系统 中 的 快捷 方式 。 如 删除 硬 链接 后 文件 存在 ， 其 他 的 硬 链接 文件 内 容 
仍 可 以 访问 。 

rm 命令 的 一 般 形式 为 ，rm [-dfirv][--help][--version][ 文 件 或 目录 ...]。 

若 不 加 任何 参数 ， 则 rm 不 能 删除 目录 。 使 用 “r” 或 “R” 选 项 可 以 删除 指定 的 文件 或 目 
录 ， 及 其 下 面 的 内 容 。 


【示例 A-4】 
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使 用 rm 命令 一 定 要 小 心 文件 一 旦 被 删除 就 不 能 恢复 为 防止 误 删 除 文体 可 以 使 用 “i” 
选项 来 逐个 确认 要 删除 的 文件 并 逐个 确认 是 否 要 删除 。 使 用 “f” 选 项 删除 文件 或 目录 时 不 给 
予 任何 提示 。 各 个 选项 可 以 组 合 使 用 ,例如 使 用 “rf” 选 项 可 以 递归 删除 指定 的 目录 而 不 给 予 
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任何 提示 。 


删除 有 硬 链接 指向 的 文件 时 ， 使 用 硬 链接 仍然 可 以 访问 文件 原来 的 内 容 , 这 点 与 软 链接 是 
不 同 的 。 


要 删除 第 1 个 字符 为 “” 的 文件 (例如 “-foo”)， 请 使 用 以 下 方法 之 一 : 


A.1.5 查看 文件 
要 查看 文件 ， 使 用 cat、less、tac、tail、more 任意 一 个 即 可 。 


1.cat 


使 用 cat 命令 查看 文件 时 会 显示 整个 文件 的 内 容 。 注 意 ，cat 只 能 查看 文本 内 容 的 文件 ， 
若 查 看 二 进 制 文件 ， 则 屏幕 会 显示 乱码 。 另 外 ，cat 可 创建 文件 、 合 并 文件 等 。cat 命令 语法 为 
cat [-AbeEnstTuv] [--help] [--version] fileName 。 


【示例 A-5】 
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使 用 cat 可 以 复制 文件 ， 包 括 文本 文件 、 二 进 制 文件 或 ISO 光盘 文件 等 。 
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2. more 和 less 


使 用 cat 命令 查看 文件 时 ， 如 果 一 个 文件 有 很 多 行 ， 就 会 出 现 滚屏 的 问题 ， 这 时 可 以 使 用 
more 或 less 查看 。more 和 less 既 可 以 和 其 他 命令 结合 使 用 ， 也 可 以 单独 使 用 。 

more 命令 可 以 使 用 space 空格 键 向 后 翻 页 、“b” 向 前 翻 页 。 帮 助 可 以 选择 “h”， 更 多 使 
用 方法 可 以 利用 “man more” 查 看 帮助 文档 。 


【示例 A-6】 
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在 more 命令 的 执行 过 程 中 ,用 户 可 以 使 用 more 自己 的 一 系列 命令 动态 地 根据 需要 来 选 
择 显示 的 部 分 。more 在 显示 完 一 屏 内 容 之 后 ， 将 停 下 来 等 待 用 户 输入 某 个 命令 。 

less 命令 的 功能 几乎 和 more 命令 一 样 ， 也 是 用 来 按 页 显示 文件 ， 不 同 之 处 在 于 less 命令 
在 显示 文件 时 允许 用 户 既 可 以 向 前 又 可 以 向 后 翻阅 文件 。 用 less 命令 显示 文件 时 , 若 需 要 在 文 
件 中 往 前 移动 ， 按 “b” 键 :要 移动 到 用 文件 的 百分比 表示 的 某 位 置 ， 指 定 一 个 0~100 之 间 的 
数 ， 并 按 “p” 即 可 。less 命令 的 使 用 与 more 命令 类 似 ， 在 此 就 不 次 述 了 ,用户 如 有 不 清楚 的 
地 方 可 直接 查看 联机 帮助 。 


3. tail 
tail 和 less 类 似 。tail 可 以 指定 显示 文件 的 最 后 多 少 行 ， 并 可 以 滚动 显示 日 志 。 


A.1.6 ”查看 文件 或 目录 find 


find 命令 可 以 根据 给 定 的 路 径 和 表达 式 查找 指定 的 文件 或 目录 。find 参数 选项 很 多 ， 并 且 
支持 正则 , 功能 强大 ,和 管道 结合 使 用 可 以 实现 复杂 的 功能 ,是 系统 管理 者 和 普通 用 户 必 须 党 
握 的 命令 。find 不 加 任何 参数 时 ， 表 示 查 找 当前 路 径 下 的 所 有 文件 和 目录 。 


【示例 A-7】 
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车 忘记 某 个 文件 的 位 置 ， 则 可 使 用 以 下 命令 查找 指定 文件 。 若 执行 完毕 没有 任何 输出 ， 则 
表示 系统 中 不 存在 此 文件 。name 选项 (文件 名 选项 ) 是 find 命令 中 常用 的 选项 ， 要 么 单独 使 
用 ,要 么 和 其 他 选项 一 起 使 用 。 可 以 使 用 某 种 文件 名 模式 来 匹配 文件 ， 记 住 要 用 引号 将 文件 名 
模式 引起 来 。 不 管 当前 路 径 是 什么 ， 如 需 在 自己 的 根 目录 $HOME 中 查找 文件 名 符合 “*.txt” 
的 文件 ， 可 以 使 用 ~ 作为 路 径 参数 ， 波 浪 号 “~” 代 表 当 前 用 户 的 主 目录 。 


A.1.7 ”过 滤 文 本 grep 


grep 是 一 种 强大 的 文本 搜索 工具 命令 ， 用 于 查找 文件 中 符合 指定 格式 的 字符 串 ， 支 持 正 
则 表达 式 。 若 不 指定 任何 文件 名 称 ， 或 是 所 给 予 的 文件 名 为 “-” 则 grep 命令 从 标准 输入 设 
备 读 取 数 据 。grep 家 族 包 括 grep、egrep 和 fgrep。egrep 和 fgrep 的 命令 只 跟 grep 有 很 小 不 同 。 
egrep 是 grep 的 扩展 。fgrep 就 是 fixed grep 或 fast grep， 该 命令 使 用 任何 正则 表达 式 中 的 元 字 
符 表 示 其 自身 的 字面 意义 , 不 再 特殊 。 其 中 , egrep 就 等 同 于 “grep -E”, ferep 等 同 于 “grep -F”。 
Linux 中 的 grep 功能 强大 ， 支 持 很 多 丰富 的 参数 ， 可 以 方便 地 进行 一 些 文本 处 理工 作 。 

grep 单独 使 用 时 至 少 有 两 个 参数 ， 若 少 于 两 个 参数 ， 则 grep 会 一 直 等 待 ， 直 到 该 程序 被 
中 断 。 如 果 遇 到 了 这 样 的 情况 ， 可 以 按 “CtrlHC” 键 终止 。 默 认 情况 下 只 搜索 当前 目录 ， 要 递 
归 查 找 子 目录 ， 可 使 用 “r” 选 项 。 


【示例 A-8】 
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[rooteCentOS etc]# grep -r var .|head -3 

./rc5.d/K50netconsole: touch /var/lock/subsys/netconsole 
/rc5.d/K50netconsole: rm -f /var/lock/subsys/netconsole 
/rc5.d/K50netconsole: [ -e /var/lock/subsys/netconsole ] && restart 


grep 支持 丰富 的 正则 表达 式 ， 常 见 的 正则 元 字符 含义 如 表 A.1 所 示 。 
表 A.1 grep 正则 参数 说 明 


参数 说 明 

指定 匹配 字符 串 的 行 首 

# 表示 0 个 以 上 的 字符 
表示 1 个 以 上 的 字符 
和 去 掉 指定 字符 的 特殊 含义 


站 日 

$ 目 绽 
匹配 一 个 不 在 指定 

匹配 一 个 或 多 个 先前 的 字符 

匹配 零 个 或 多 个 先前 的 字符 

匹配 a 或 b 或 c 


日 
六 D 
] 本 
故 一 个 不 在 指定 范围 内 的 字符 
WwW 


[:alnum:] 文字 、 数 字 字符 
[:alpha:] 文字 字符 

[:digit:] 数字 字符 

[:graph:] 非 空 格 、 控 制 字 符 
[:lower:] 小 写字 符 


[:print:] 非 空 字符 (包括 空格 ) 
[:punct:] 标点 符号 
[:space:] 所 有 空白 字符 (新 行 ， 空 格 ， 制 表 符 ) 


410 


附录 A Linux 常用 命令 示例 


( 续 表 ) 


参数 说 明 


十 六 进 制 数字 〈0-9，a-f，A-F) 


A.1.8 比较 文件 差异 dif 


di 任命 令 的 功能 为 逐 行 比较 两 个 文本 文件 ， 列 出 其 不 同 之 处 。 它 对 给 出 的 文件 进行 系统 的 
检查 ， 并 显示 出 两 个 文件 中 所 有 不 同 的 行 ， 以 便 告知 用 户 为 了 使 两 个 文件 flel 和 file2 一 致 ， 
需要 修改 它们 的 哪些 行 ， 比 较 之 前 不 要 求 事先 对 文件 进行 排序 。 如 果 di 任命 令 后 跟 的 是 目录 ， 
就 会 对 该 目录 中 的 同名 文件 进行 比较 ， 但 不 会 比较 其 中 的 子 目 录 。 


【示例 A-9】 
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在 上 述 比较 结果 中 ,“ 雪 ”开头 的 行 属于 第 1 个 文件 ,以 “之 ”开头 的 行 属 于 第 2 个 文体 
字母 a、d 和 分 别 表示 附加 、 删 除 和 修改 操作 。 


A.1.9 在 文件 或 目录 之 间 创 建 链接 In 


In 命令 用 在 连接 文件 或 目录 中 ， 若 同时 指定 两 个 以 上 的 文件 或 目录 ， 且 最 后 的 目的 地 是 
一 个 已 经 存在 的 目录 , 则 会 把 前 面 指定 的 所 有 文件 或 目录 复制 到 该 目录 中 。 若 同时 指定 多 个 文 
件 或 目录 ， 且 最 后 的 目的 地 并 非 是 一 个 已 存在 的 目录 ， 则 会 出 现 错误 信息 。In 命令 会 保持 每 
一 处 链接 文件 的 同步 性 , 也 就 是 说 , 只 要 改动 其 中 一 处 , 其 他 地 方 的 文件 就 会 发 生 相同 的 变化 。 

In 的 链接 分 为 软 链接 和 硬 链接 。 软 链接 只 会 在 目的 位 置 生成 一 个 文件 的 链接 文件 ， 实 际 
不 会 占用 磁盘 空间 ， 相 当 于 Windows 中 的 快捷 方式 。 硬 链接 会 在 目的 位 置 上 生成 一 个 和 源 文 
件 大 小 相同 的 文件 。 无 论 是 软 链接 还 是 硬 链接 , 文件 都 保持 同步 变化 。 软 链接 是 可 以 跨 分 区 的 ， 
但 是 硬 链 接 必须 在 同一 个 文件 系统 , 并 且 不 能 对 目录 进行 硬 链接 , 而 符号 链接 可 以 指向 任意 位 
置 。 


【示例 A-10】 
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硬 链 接 指向 的 文件 进行 读 写 和 删除 操作 的 时 候 ， 效 果 和 符号 链接 相同 。 删 除 硬 链接 文件 的 
源 文件 ， 硬 链接 文件 仍然 存在 ， 可 以 将 硬 链 接 指向 的 文件 认为 是 不 同 的 文件 ， 只 是 具有 相同 的 
内 容 。 


A.1.10 ”显示 文件 类 型 file 


file 命令 用 来 显示 文件 的 类 型 , 对 于 每 个 给 定 的 参数 , 该 命令 试图 将 文件 分 类 为 文本 文件 、 
可 执行 文件 、 压 缩 文 件 或 其 他 可 理解 的 数据 格式 。 


【示例 A-11】 
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A.1.11 分割 文件 split 


当 处 理 文件 时 ， 有 时 需要 将 文件 做 分 割 处 理 。split 命令 用 于 分 割 文件 ， 可 以 将 文本 文件 按 
指定 的 行 数 分 割 ， 每 个 分 割 后 的 文件 都 包含 相同 的 行 数 。split 可 以 分 割 非 文本 文件 ， 分 割 时 可 
以 指定 每 个 文件 的 大 小 ,使 分 割 后 的 文件 有 相同 的 大 小 。 经 过 split 后 的 文件 可 以 使 用 cat 命令 
组 装 在 一 起 。 

【示例 A-12】 
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当 把 一 个 大 的 文件 拆 分 为 多 个 小 文件 后 ， 如 何 校 验 文 件 的 完整 性 呢 ? 一 般 通 过 MD5 工具 
来 校 验 对 比 。 对 应 的 Linux 命令 为 md5sum。 


画 有 关 md5 的 校 验 机 制 和 原理 ， 请 参考 相关 文档 ， 本 节 不 再 玖 述 。 


A.1.12 合并 文件 join 


如 果 需 要 将 两 个 文件 根据 某 种 规则 连接 起 来 ， 可 以 用 join 完成 这 个 功能 。 该 命令 可 以 找 
出 两 个 文件 中 指定 列 内 容 相同 的 行 ， 并 加 以 合并 ， 再 输出 到 标准 输出 设备 。 


【示例 A-13】 
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A.1.13 “文件 权限 umask 


umask 用 于 指定 在 建立 文件 时 预 设 的 权限 掩 码 。 权 限 掩 码 由 3 个 八进制 的 数字 所 组 成 ,将 
现 有 的 存 取 权 限 减 掉 权 限 掩 码 后 ， 即 可 产生 建立 文件 时 预 设 的 权限 。 

需要 注意 的 是 ， 文 件 基数 为 666， 目 录 为 777， 即 文件 可 设 x 位 ， 目 录 可 设 x 位 。chmod 
改变 文件 权限 位 时 设 定 哪个 位 ， 那 么 哪个 位 就 有 权限 ; 而 umask 是 设 定 哪个 位 ， 哪 个 位 上 就 
没 权 限 。 完 成 一 次 设 定 后 ， 只 针对 当前 登录 的 环境 有 效 ， 若 想 永久 保存 ， 则 可 加 入 对 应 用 户 的 
profile 文件 中 : 


umask 参数 中 的 数字 范围 为 000~777。umask 的 计算 方法 分 为 目录 和 文件 两 种 情况 。 相 应 
的 文件 和 目录 默认 创建 权限 确定 步骤 如 下 : 


(1) 目录 和 文件 的 最 大 权限 模式 为 777， 即 所 有 用 户 都 具有 读 、 写 和 执行 权限 。 

(2) 得 到 当前 环境 umask 的 值 ， 当 前 系统 为 0022。 

(3) 对 于 目录 来 说 ， 根 据 互补 原则 ， 目 录 权 限 为 755; 而 文件 由 于 默认 没有 执行 权限 ， 
最 大 为 666， 则 对 应 的 文件 权限 为 644。 
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【示例 A-14】 


A.1.14 文本 操作 awk 和 sed 


awk 和 sed 为 Linux 系统 中 强大 的 文本 处 理工 具 ， 其 使 用 方法 比较 简洁 ， 而 且 处 理 效率 非 
常 高 。 本 节 主 要 介绍 awk 和 sed 命令 的 使 用 方法 。 


1 . awk 命令 


awk 命令 用 于 Linux 下 的 文本 处 理 。 数 据 可 以 来 自 文件 或 标准 输入 ,支持 正则 表达 式 等 功 
能 ， 是 Linux 下 强大 的 文本 处 理工 具 。 


【示例 A-15】 


当 指 定 awk 时 ,首先 从 给 定 的 文件 中 读 取 内 容 , 然后 针对 文件 中 的 每 一 行 执行 print 命令 ， 
并 把 输出 发 送 至 标准 输出 ， 如 屏幕 。 在 awk 中 ，“f}” 用 于 将 代码 分 块 。 由 于 awk 默认 
的 分 隔 符 为 空格 等 空白 字符 ， 因 此 上 述 示例 的 功能 为 将 文件 中 的 每 行 打 印 出 来 。 


2 . sed 命令 


在 修改 文件 时 ， 如 果 不 断 地 重复 某 些 编辑 动作 ， 则 可 用 sed 命令 完成 。sed 命令 为 Linux 
系统 中 将 编辑 工作 自动 化 的 编辑 器 , 使 用 者 无 须 直接 编辑 数据 ,是 一 种 非 交 互 式 上 下 文 编辑 器 ， 
一 般 的 Linux 系统 本 身 即 安装 有 sed 工具 。 使 用 sed 可 以 完成 数据 行 的 删除 、 更 改 、 添 加 、 插 
入 、 合 并 或 交换 等 操作 。 与 awk 类 似 ，sed 的 命令 可 以 通过 命令 行 、 管 道 或 文件 输入 。 

sed 命令 可 以 打印 指定 的 行 至 标准 输出 或 重 定向 至 文件 ， 打 印 指定 的 行 可 以 使 用 “p” 命 
令 ， 打 印 指定 的 某 一 行 或 某 个 范围 的 行 。 
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【示例 A-16】 


一 “2p” 表 示 只 打印 第 2 行 ，“2,3p” 表 示 打 印 一 个 范围 。 


入 .2 目录 管理 


目录 是 Linux 的 基本 组 成 部 分 ， 目录 管理 包括 目录 的 复制 、 删 除 、 修 改 等 操作 。 本 节 主 要 
介绍 Linux 中 目录 管理 相关 的 命令 。 


A.2.1 显示 当前 工作 目录 pwd 


pwd 命令 用 于 显示 当前 工作 目录 的 完整 路 径 。pwd 命令 使 用 比较 简单 , 默认 情况 下 不 带 任 
何 参 数 ， 执 行 该 命令 显示 当前 路 径 。 如 果 当 前 路 径 有 软 链接 ， 显 示 链 接 路 径 而 非 实际 路 径 ， 使 
用 “P” 参 数 可 以 显示 当前 路 径 的 实际 路 径 。 

【示例 A-17】 


A.2.2 ”建立 目录 mkdir 


mkdir 命令 用 于 创建 指定 的 目录 。 创 建 目录 时 当前 用 户 对 需要 操作 的 目录 有 读 写 权 限 。 如 
果 目 录 已 经 存在 ， 就 会 提示 报错 并 退出 。mkdir 可 以 创建 多 级 目录 。 


: 创建 目录 时 目的 路 径 不 能 存在 重 名 的 目录 或 文件 。 使 用 -p 参数 可 以 一 次 创建 多 个 目录 ， 
| 并 且 创 建 多 级 目录 时 ， 不 需要 多 级 目录 中 每 个 目录 都 存在 。 
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【示例 A-18】 


A.2.3 删除 目录 rmdir 


rmdir 命令 用 于 删除 指定 的 目录 , 删除 的 目录 必须 为 空 目录 或 为 多 级 空 目录 。 例如 使 用 “p” 
数 ,“rmdir -p a/b/c” 等 价 于 “rmdira/b/ec rmdir ab rmdira”。 


附录 A Linux 常用 命令 示例 


【示例 A-19】 


CentOS 7.5 系统 管理 与 运 维 实战 


A.2.4 改变 工作 目录 cd 


cd 命令 用 于 切换 工作 目录 为 指定 的 目录 ， 参 数 可 以 为 相对 路 径 或 绝对 路 径 ， 若 不 跟 任何 
参数 ， 则 切换 到 用 户 的 主 目录 。cd 为 常用 的 命令 ， 与 DOS 下 的 cd 命令 类 似 。 


【示例 A-20】 


A.2.5 查看 工作 目录 文件 ls 


ls 命令 是 Linux 下 最 常用 的 命令 。ls 命令 就 是 list 的 缩写 。 默 认 情 况 下 ，ls 用 来 查看 当前 
目录 的 清单 ， 如 果 ls 指定 其 他 目录 ， 就 会 显示 指定 目录 里 的 文件 及 文件 夹 清单 。 通 过 ls 命令 
不 仅 可 以 查看 Linux 文件 夹 包含 的 文件 , 还 可 以 查看 文件 权限 (包括 目录 、 文件 夹 、 文 件 权 限 )、 
查看 目录 信息 等 。 


【示例 A-21】 
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第 1 列 后 9 个 字母 表示 该 文件 或 目录 的 权限 位 。r 表示 读 、w 表示 写 、x 表示 执行 。 

第 2 列表 示 文件 硬 链 接 数 。 

第 3 列表 示 文 件 拥有 者 。 

第 4 列表 示 文 件 拥有 者 所 在 的 组 。 

第 5 列表 示 文 件 大 小 ， 如 果 是 目录 ， 则 表示 该 目录 大 小 (注意 是 目录 本 身 大 小 ， 而 非 
目录 及 其 下 面 的 文件 总 大 小 ) 。 

@ 第 6 列表 示 文 件 或 目录 的 最 近 修改 时 间 。 


A.2.6 ”查看 目录 树 tree 


使 用 tree 命令 以 树 状 图 递归 的 形式 显示 各 级 目录 ， 可 以 方便 地 看 到 目录 结构 。 
【示例 A-22】 
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A.2.7 ”打包 或 解 包 文件 tar 
tar 命令 用 于 将 文件 打包 或 解 包 , 扩展 名 一 般 为 “tar”, 指定 特定 参数 可 以 调用 gzip 或 bzip2 
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制作 压缩 包 或 解 开 压 缩 包 ， 扩 展 名 为 “tar.gz” 或 “tar.bz2”。 
tar 命令 相关 的 包 一 般 使 用 .tar 作为 文件 名 标识 。 如果 加 z 参数 ， 则 以 .tar.gz 或 .tgz 来 代表 
gzip 压缩 过 的 tar。 


【示例 A-23】 


A.2.8 压缩 或 解压 缩 文件 和 目录 zip/unzip 


zip 是 Linux 系统 下 广泛 使 用 的 压缩 程序 ， 文 件 压缩 后 扩展 名 为 “.zip”。 
zip 命令 的 基本 用 法 是 : zip [参数 ] [打包 后 的 文件 名 ] [打包 的 目录 路 径 ]。 路 径 可 以 是 相对 
路 径 ， 也 可 以 是 绝对 路 径 。 


【示例 A-24】 


zip 命令 用 来 将 文件 压缩 成 为 常用 的 zip 格式 。 
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unzip 命令 用 来 解压 缩 zip 文件 。 
【示例 A-25】 


A.2.9 压缩 或 解 庄 缩 文件 和 目录 gzip/gunzip 


和 zip 命令 类 似 ，gzip 用 于 文件 的 压缩 ，gzip 压缩 后 的 文件 扩展 名 为 “.gz”，gzip 默认 压 
缩 后 会 删除 原文 件 。gunzip 用 于 解压 经 过 gzip 压缩 过 的 文件 。 


【示例 A-26】 


zgrep 命令 的 功能 是 在 压缩 文件 中 寻找 匹配 的 正则 表达 式 ， 用 法 和 grep 命令 一 样 ， 只 不 过 
操作 的 对 象 是 压缩 文件 。 如 果 用 户 想 看 看 在 某 个 压缩 文件 中 有 没有 某 一 句 话 ， 则 可 用 zgrep 命 
令 。 


A.2.10 ”压缩 或 解压 缩 文 件 和 目录 bzip2/bunzip2 
bzip2 是 Linux 下 的 一 款 压缩 软件 ， 能 够 高 效 地 完成 文件 数据 的 压缩 ， 支 持 现在 大 多 数 压 


A.2.9 压缩 或 解 庄 缩 文件 和 目录 gzip/gunzip 


和 zip 命令 类 似 ，gzip 用 于 文件 的 压缩 ，gzip 压缩 后 的 文件 扩展 名 为 “.gz”，gzip 默认 压 
缩 后 会 删除 原文 件 。gunzip 用 于 解压 经 过 gzip 压缩 过 的 文件 。 


【示例 A-26】 


zgrep 命令 的 功能 是 在 压缩 文件 中 寻找 匹配 的 正则 表达 式 ， 用 法 和 grep 命令 一 样 ， 只 不 过 
操作 的 对 象 是 压缩 文件 。 如 果 用 户 想 看 看 在 某 个 压缩 文件 中 有 没有 某 一 句 话 ， 则 可 用 zgrep 命 
令 。 


A.2.10 ”压缩 或 解压 缩 文 件 和 目录 bzip2/bunzip2 
bzip2 是 Linux 下 的 一 款 压缩 软件 ， 能 够 高 效 地 完成 文件 数据 的 压缩 ， 支 持 现在 大 多 数 压 
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缩 格式 , 包括 tar、gzip 等 。 若 没有 加 上 任何 参数 ,bzip2 压缩 完 文件 后 会 产生 .bz2 的 压缩 文件 ， 
并 删除 原始 的 文件 。 压缩 效率 bzip2 比 传统 的 gzip 或 ZIP 的 压缩 效率 更 高 , 但 是 它 的 压缩 速度 
较 慢 。bzip2 只 是 一 个 数据 压缩 工具 ， 而 不 是 归档 工具 ， 在 这 一 点 上 与 gzip 类 似 。 

bunzip2 是 bzip2 的 一 个 符号 连接 ， 但 bunzip2 和 bzip2 的 功能 却 正好 相反 。bzip2 是 用 来 
压缩 文件 的 ， 而 bunzip2 是 用 来 解压 文件 的 ， 相 当 于 bzip2 -d， 类 似 的 有 zip 和 unzip、gzip 和 
gunzip、compress 和 uncompress。 

gzip、bzip2 一 次 只 能 压缩 一 个 文件 ， 若 要 同时 压缩 多 个 文件 ， 则 需 将 其 打 个 tar 包 ， 然 后 
压缩 ， 即 targz、tarbz2。 在 Linux 系统 中 ，bzip2 也 可 以 与 tar 一 起 使 用 。bzip2 可 以 压缩 文件 ， 
也 可 以 解压 文件 ， 解 压 也 可 以 使 用 另外 一 个 名 字 bunzip2。 bzip2 的 命令 行 标志 大 部 分 与 gzip 
相同 ， 所 以 从 tar 文件 解压 bzip2 压缩 的 文件 方法 如 下 所 示 。 


【示例 A-27】 


429 


CentOS 7.5 


入 .了 系统 管理 


如 何 查看 系统 帮助 ? 如 何 查看 历史 命令 ? 日 常 使 用 中 有 一 些 命令 可 以 提高 Linux 系统 的 
使 用 效率 ， 本 节 主 要 介绍 系统 管理 相关 的 命令 。 
A.3.1 查看 命令 帮助 man 


使 用 man 这 个 命令 可 以 调 阅 其 中 的 帮助 信息 ， 非 常 方便 和 实用 。 在 输入 命令 有 困难 时 ， 
可 以 立刻 查阅 相关 帮助 信息 。 


【示例 A-28】 
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A.3.2 ”导出 环境 变量 export 


一 个 变量 的 设置 一 般 只 在 当前 环境 有 效 , export 命令 可 以 用 于 传递 一 个 或 多 个 变量 的 值 到 
任何 后 续 脚 本 。export 可 新 增 、 修 改 或 删除 环境 变量 ， 供 后 续 执行 的 程序 使 用 。export 的 效力 
仅 限于 该 次 登录 操作 。 


【示例 A-29】 


A.3.3 查看 历史 记录 history 


当 使 用 终端 命令 行 输入 并 执行 命令 时 ，Linux 会 自动 把 命令 记录 到 历史 列表 中 ， 一 般 保 存 
在 用 户 HOME 目录 下 的 .bash_history 文件 中 。 默 认 保存 1000 条 ， 这 个 值 可 以 更 改 。 如 果 不 需 
要 查看 历史 命令 中 的 所 有 项 目 ，history 可 以 只 查看 最 近 n 条 命令 列表 。history 命令 不 仅 可 以 
查询 历史 命令 ， 还 有 相关 的 功能 执行 命令 。 

系统 安装 完毕 ， 执 行 history 并 不 会 记录 历史 命令 的 时 间 ， 通 过 特定 的 设置 可 以 记录 命令 
的 执行 时 间 。 使 用 上 下 方向 键 可 以 方便 地 看 到 执行 的 历史 命令 ， 使 用 Ctrl+R 键 对 命令 历史 进 
行 搜索 ， 对 于 想 要 重复 执行 某 个 命令 的 时 候 非常 有 用 。 当 找到 命令 后 ， 通 常 再 按 Enter 键 就 可 
以 执行 该 命令 。 若 想 对 找到 的 命令 进行 调整 后 再 执行 ， 则 可 按 左 或 右 方向 键 。 使 用 “!” 可 以 
方便 地 执行 历史 命令 。 


【示例 A-30】 
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若 想 清除 已 有 的 历史 命令 ， 则 可 使 用 history -~e 选项 。 


A.3.4 ”显示 或 修改 系统 时 间 与 日 期 date 
date 命令 的 功能 是 显示 或 设置 系统 的 日 期 和 时 间 。 


只 有 超级 用 户 才能 用 date 命令 设置 时 间 ， 一 般 用 户 只 能 用 date 命令 显示 时 间 。 另 外 ， 一 
些 环境 变量 会 影响 到 date 命令 的 执行 效果 。 


【示例 A-31】 
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当 以 root 身份 更 改 了 系统 时 间 之 后 ， 还 需要 通过 clock -w 命令 将 系统 时 间 写 入 CMOS 中 ， 
这 样 下 次 重新 开机 时 系统 时 间 才 会 使 用 最 新 的 值 。date 参数 丰富 ， 其 他 参数 用 法 可 上 机 实践 。 


A.3.5 清除 屏幕 clear 


clear 命令 用 于 清空 终端 屏幕 ， 类 似 DOS 下 的 cls 命令 ， 使 用 比较 简单 。 要 清除 当前 屏幕 
内 容 ， 直 接 输入 “clear” 即 可 ， 人 快捷 键 为 Ctrl+L。 
如 果 终 端 有 乱码 ，clear 不 能 恢复 时 ， 可 以 使 用 reset 命令 使 屏幕 恢复 正常 。 


A.3.6 ”查看 系统 负载 uptime 


Linux 系统 中 的 uptime 命令 主要 用 于 获取 主机 运行 时 间 和 查询 Linux 系统 负载 等 信息 。 
uptime 命令 可 以 显示 系统 已 经 运行 了 多 长 时 间 ， 信 息 显示 依次 为 : 现在 时 间 、 系 统 已 经 运行 
了 多 长 时 间 、 目 前 有 多 少 登 录用 户 、 系 统 在 过 去 的 1 分 钟 、5 分 钟 和 15 分 钟 内 的 平均 负载 。 
uptime 命令 用 法 十 分 简单 ， 直 接 输 入 uptime 即 可 。 


【示例 A-32】 


06:30:09 表示 系统 当前 时 间 ,“up 8:15” 表 示 主 机 已 运行 的 时 间 ， 时 间 越 大 ， 说 明 机 器 
越 稳定 。3 users 表示 用 户 连接 数 ， 是 总 连接 数 而 不 是 用 户 数 。load average 表示 系统 平均 负载 ， 
统计 最 近 1、5、15 分 钟 的 系统 平均 负载 。 系 统 平均 负载 是 指 在 特定 时 间 间 隔 内 运行 队列 中 的 
平均 进程 数 。 对 于 单 核 CPU， 负 载 小 于 3， 表 示 当 前 系统 性 能 良好 ; 在 3~10 之 间 ， 表 示 需 要 
关注 ， 系 统 负载 可 能 过 大 ， 需 要 做 对 应 的 优化 ， 大 于 10， 表 示 系 统 性 能 有 严重 问题 。 另 外 ， 
15 分 钟 系统 负载 需 重点 参考 并 作为 当前 系统 运行 情况 的 负载 依据 。 
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A.3.7 显示 系统 内 存 状态 free 


free 命令 会 显示 内 存 的 使 用 情况 ， 包 括 实体 内 存 、 虚 拟 的 交换 文件 内 存 、 共 享 内 存 区 段 以 
及 系统 核心 使 用 的 缓冲 区 等 。 


【示例 A-33】 


e@ Mem: 表示 物理 内 存 统计 ， 此 示例 中 有 16040MB 。 

@ -/+buffers/cached: 表示 物理 内 存 的 缓存 统计 。 

e Swap 表示 硬盘 上 交换 分 区 的 使 用 情况 ， 若 剩余 空间 较 小 ， 则 需 留意 当前 系统 内 存 使 用 
情况 及 负载 。 


第 1 行 数据 16040 表示 物理 内 存 总 量 , 13128 表示 总 计 分 配给 缓存 (包含 buffers 与 cache) 
使 用 的 数量 ， 但 其 中 可 能 部 分 缓存 并 未 实际 使 用 ，2911 表示 未 被 分 配 的 内 存 。shared 为 0， 表 
示 共 享 内 存 ，329 表示 系统 分 配 但 未 被 使 用 的 buffers 数量 ，6265 表示 系统 分 配 但 未 被 使 用 的 
cache 数量 。 

以 上 示例 显示 系统 总 内 存 为 16040MB， 如 需 计算 应 用 程序 占用 内 存 ， 可 以 使 用 公式 计算 : 
total -free-buffers-cached=16040-2911-329-6265=6535。 内 存 使 用 百分比 为 6535/16040= 40%， 
表示 系统 内 存 资源 能 满足 应 用 程序 需求 。 若 应 用 程序 占用 内 存量 超过 80%， 则 应 该 及 时 进行 
应 用 程序 算法 优化 。 


A.3.8 ”转换 或 复制 文件 dd 


dd 命令 可 以 用 指定 大 小 的 块 复制 一 个 文件 ,并 在 复制 的 同时 进行 指定 的 转换 ,可 以 和 b/c/k 
组 合 使 用 。 


/dev/null， 可 以 向 它 输出 任何 数据 ， 输 出 的 数据 都 会 丢失 。 实 际 并 不 存储 ，/dev/zero 是 一 
个 输入 设备 ， 可 用 来 初始 化 文件 ， 该 设备 无 穷尽 地 提供 0。 


【示例 A-34】 


指定 数字 的 地 方 若 以 下 列 字符 结尾 则 乘 以 相应 的 数字 : b=512; c=1; k=1024; w=2。 
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下 利用 随机 的 数据 填充 硬盘 ， 可 以 在 某 些 必要 的 场合 销毁 数据 。 


入 .4 任务 管理 


在 Windows 系统 中 ,提供 了 计划 任务 , 功能 就 是 安排 自动 运行 的 任务 。Linux 提供 了 对 应 
的 命令 完成 任务 管理 。 
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A.4.1 单 次 任务 at 


at 可 以 设置 在 一 个 指定 的 时 间 执 行 一 个 指定 的 任务 , 只 能 执行 一 次 , 使 用 前 确认 系统 开启 
了 atd 进程 。 如 果 指 定 的 时 间 已 经 过 去 ， 就 会 放 在 第 2 天 执行 。 


【示例 A-35】 


不 过 ， 并 不 是 所 有 用 户 可 以 进行 at 计划 任务 。 利 用 /etc/at.allow 与 /etc/at.deny 这 两 个 文件 来 进行 
at 的 使 用 限制 。 系 统 首先 查找 /etc/atallow 这 个 文件 ， 写 在 这 个 文件 中 的 使 用 者 才能 使 用 at， 没有 在 
这 个 文件 中 的 使 用 者 则 不 能 使 用 at。 如 果 /etc/at.allow 不 存在 ， 就 寻找 /etc/at.deny 文件 ， 若 是 写 在 这 
个 atdeny 文件 的 使 用 者 则 不 能 使 用 at， 没 有 在 这 个 at.deny 文件 中 的 使 用 者 可 以 使 用 at 命令 。 


A.4.2 周期 任务 crond 


crond 在 Linux 下 用 来 周期 性 地 执行 某 种 任务 或 等 待 处 理 某 些 事件 ， 如 进程 监控 、 日 志 
理 等 ， 和 Windows 下 的 计划 任务 类 似 。 当 安装 操作 系统 时 ， 默 认 会 安装 此 服务 工具 ， 并 且 会 
自动 启动 crond 进程 。crond 进程 每 分 钟 会 定期 检查 是 否 有 要 执行 的 任务 ， 如 果 有 要 执行 的 任 
务 ， 就 会 自动 执行 该 任务 。crond 的 最 小 调度 单位 为 分 钟 。 

Linux 下 的 任务 调度 分 为 两 类 : 系统 任务 调度 和 用 户 任务 调度 。 

(1) 系统 任务 调度 : 系统 周期 性 要 执行 的 工作 ， 比 如 写 缓存 数据 到 硬盘 、 日 志清 理 等 。 


在 /etc 目录 下 有 一 个 crontab 文件 ， 这 个 文件 就 是 系统 任务 调度 的 配置 文件 。 
/etc/crontab 文件 包括 【示例 A-36】 所 示 的 几 行 。 


【示例 A-36】 


附录 A ”Linux 常用 命令 示例 


sun,mon, tue, wed, thu, fri, sat 

user-name command to be executed 

前 4 行 用 来 配置 crond 任务 运行 的 环境 变量 :第 1 行 SHELL 变量 指定 了 系统 要 使 用 哪个 Shell 
这 里 是 bash; 第 2 行 PATH 变量 指定 了 系统 执行 命令 的 路 径 ; 第 3 行 MAILTO 变量 指定 了 crond 的 
任务 执行 信息 将 通过 电子 邮件 发 送 给 root 用 户 ， 如 果 MAILTO 变量 的 值 为 空 ， 就 表示 不 发 送 任务 执 
行 信息 给 用 户 ， 第 4 行 的 HOME 变量 指定 了 在 执行 命令 或 脚本 时 使 用 的 主 目录 。 

(2) 用 户 任务 调度 : 用 户 定期 要 执行 的 工作 ， 比 如 用 户 数据 备份 、 定 时 邮件 提醒 等 。 用 

户 可 以 使 用 crontab 工具 来 定制 自己 的 计划 任务 。 所 有 用 户 定义 的 crontab 文件 都 被 保存 在 
/var/spool/cron 目录 中 。 其 文件 名 与 用 户 名 一 致 。 

用 户 所 建立 的 crontab 文件 中 ， 每 一 行 都 代表 一 项 任务 ， 每 行 的 每 个 字段 代表 一 项 设置 ， 
它 的 格式 共 分 为 6 个 字段 ,前 5 段 是 时 间 设 定 段 ， 第 6 段 是 要 执行 的 命令 段 ， 格 式 为 “minute 
hour day month week command”， 具 体 说 明 参 考 表 A.2。 


表 A.2 crontab 任务 设置 对 应 参数 说 明 
参数 说 明 


| minute | 表示 分 钟 ， 可 以 是 0-59 之 间 的 任何 整数 
表示 小 时 ， 可 以 是 0-23 之 间 的 任何 整数 


表示 星期 几 ， 可 以 是 0-7 之 间 的 任何 整数 ， 这 里 的 0 或 7 代表 星期 日 
| command “| 要 执行 的 命令 ， 可 以 是 系统 命令 ， 也 可 以 是 自己 编写 的 脚本 文件 


其 中 ，crond 是 Linux 用 来 定期 执行 程序 的 命令 。 当 安装 完 操作 系统 之 后 ， 便 会 默认 启动 此 任务 
调度 命令 。crond 命令 每 分 钟 会 定期 检查 是 否 有 要 执行 的 工作 。crontab 命令 常用 参数 如 表 A.3 所 示 。 


表 A.3 crontab 命令 常用 参数 说 明 


执行 文字 编辑 器 来 编辑 任务 列表 ， 内 定 的 文字 编辑 器 是 VI 
< | 删除 目前 的 任务 列表 
可 | 列 出 目前 的 任务 列表 


crontab 的 一 些 使 用 方法 如 下 所 示 。 
【示例 A-37】 
# 每 月 每 天 每 小 时 的 第 0 分 钟 执行 一 次 /bin/1s 


OT Le 


# 在 12 月 内 ， 每 天 的 早上 6 点 到 12 点 ， 每 隔 20 分 钟 执行 一 次 /usr/bin/backup 
0 6-12/3 * 12 * /usr/bin/backup 
# 每 两 个 小 时 重启 一 次 apache 


0 */2 * * * /sbin/service httpd restart 


437 


